English  简体中文
   

二代网银U盾解锁,为什么不使用管理员口令?

2018-01-08       撰稿人:飞天诚信


金融行业标准JR/T 0068-2012《网上银行系统信息安全通用规范》规定,“PIN码连续输错次数达到错误次数上限(不超过10次),USB Key应锁定”。为使锁定的USB Key重新恢复可用状态,需要提供解锁功能。按照JR/T 0114-2015《网银系统USBKey规范 安全技术与测评要求》的规定,管理员具有“解锁PIN和初始化PIN的权力”;密码行业标准GM/T 0016-2012《智能密码钥匙密码应用接口规范》规定了解锁PIN的接口,并规定“验证完管理员PIN才能够解锁用户PIN”。然而,飞天诚信为超过200家网上银行提供可视按键型智能密码钥匙(二代U盾),却坚持不使用管理员解锁PIN。这是为什么呢?

无论金融行业标准还是密码行业标准,都规定只有管理员可以解锁用户PIN。因此,为了解锁用户PIN,首先要验证管理员身份,即验证管理员PINPIN是一种典型的口令。基于口令的实体鉴别技术是当前应用广泛的鉴别技术,这一方面是因为口令容易记忆、不需要额外的载体,使用方便;另一方面基于口令的鉴别协议通常简单高效,适用于用户量巨大的信息系统。然而,口令一般仅由可打印的ASCII字符组成,选择空间较小,安全强度较低。更为不利的是,用户通常会选择能方便记忆且易于使用的具有特定意义的单词或词组作为口令,更容易遭受字典攻击的影响。在解锁二代U盾这一场景中,管理员PIN的存储和使用,容易带来安全漏洞或者增加运营负担。

设想以下情况:

1)将管理员PIN发给用户自行解锁?管理员PIN泄露给用户后,用户有可能私存管理员PIN并滥用,任意解锁,从而使锁定功能实质上失效,出现安全漏洞,不符合JR/T 0068规定;

2)将管理员PIN加密后发给用户解锁?但管理员PIN需要经客户计算机传递给二代U盾,一旦客户计算机有木马等攻击程序活动,则管理员PIN可能被窃取,由此产生不可预测的风险;

3)管理员PIN由柜员保管,在柜面提供解锁服务?柜员面对众多用户,如果各个用户对应的管理员PIN不同,则会极大增加柜员的工作负担,且容易出现匹配错误等情况;如果各个用户对应的管理员PIN相同,一旦发生泄露,受到安全威胁的用户范围较大且不好确定。柜员需要负责防止管理员PIN泄露的责任,增加了管理方面的风险和负担;

4)在网银系统提供自助解锁服务?需要在网银系统中保存管理员PIN,会给网银系统带来额外的风险和负担。JR/T 0068规定,“应保证至少每年开展一次网上银行全面安全检查”。管理员PIN是典型的敏感数据,其在网银系统中的保存、使用情况,无疑将成为安全检查的内容之一,需要满足针对密码、敏感数据等全方位的要求。

正是出于对口令管理的深刻理解,飞天诚信在全面衡量管理员PIN给网银系统带来的额外风险和负担之后,坚持使用基于二代U盾的特点设计实现的“恢复出厂状态”功能代替管理员解锁。该方案已顺利通过中国信息安全测评中心、公安部第三研究所、国家信息技术安全研究中心等众多权威第三方机构的安全测评。

中国密码学会电子认证专业委员会 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546543-686
京ICP备05046059号-4