摘要:
前文已经提出了一个安全网上银行系统的大致描述,今天我们将论述一下如何构造这种安全的网银系统。 要想知道什么样的网银系统是安全的,首先要知道哪些网银系统是不安全的。 我的观点是,所有不带有身份认证令牌硬件设备的网银系统都是不安全的。 这些系统包括各种“大众版”网银,以及一些所谓的数字证书“专业版... 阅读全文
摘要:
随着互联网和电子商务的发展,USB Key作为网络用户身份识别和数据保护的“电子钥匙”,正在被越来越多的用户所认识和使用。本文对USB Key的产生和未来的发展趋势作了一个简单的介绍。 目前市场上见到的USB Key 按照硬件芯片不同可以分为使用智能卡芯片的和不使用智能卡芯片两种,按照CPU是否内... 阅读全文
摘要:
前言:本文为USB Key的厂商SafeNet公司提供的宣传稿件,并不代表本博客作者的观点和看法。 本文的技术解决方案使用的是SafeNet自身的产品,虽然这个产品支持数字签名和PKI体系,可生成并储存私钥和数字证书,是满足个人身份认证安全级别和存储数字证书的一种选择,不过国内也有相当多的其他品牌... 阅读全文
摘要:
用户登录是任何一个应用系统的基本功能,特别是对于网上银行系统来说,用户登录的安全性尤为重要。如何设计一个网站的安全登录认证程序,是本文主要讨论的问题。 静态密码存在着比较多的安全隐患,攻击者有很多手段获得静态密码,管理密码也具有较高的成本,我在前文《中国网上银行系统安全性分析》中曾经论证过,使用硬... 阅读全文
摘要:
先前我曾经写了一篇“网站的安全登录认证设计”,可能是讲述的不够清楚,有一位读者就留言质疑到,“公钥顾名思义就是公开的啦,只要你愿意,谁都会有你的公钥,何来安全?应该是用网站的公钥加密,传到网站后,网站用自己的私钥解密吧”。 这些密码学的概念容易被搞混淆,的确也情有可原。因为公钥、私钥、加密、认证... 阅读全文