效果很好的一次性密碼

以前，存在語言壁壘這層“防范”的日本與曾出現(xiàn)過數(shù)十億美元損失的歐美相比，非法攻擊對(duì)網(wǎng)銀的影響微乎其微。

但從2012年前后開始，日本的釣魚網(wǎng)站數(shù)量迅速增加。MitB攻擊也是把幾年前在其他國家使用的方法用到了日本。

最近的非法攻擊中比較突出的是，讓用戶輸入用于第二密碼的亂數(shù)表和“密保問題”等所有內(nèi)容的方法。把每次交易各不相同的密碼的基礎(chǔ)信息全部泄露出去正是犯罪者想要的結(jié)果。

對(duì)這種威脅最為有效的是“一次性密碼”。這種密碼的特點(diǎn)是，進(jìn)行網(wǎng)銀交易時(shí)，在銀行和用戶間共享只在交易瞬間有效的密碼，這樣即使認(rèn)證信息被盜，也容易確保安全性。

可以說，這種方式是使用亂數(shù)表等的第二密碼的升級(jí)形態(tài)，更加安全。以前的第二密碼是向用戶發(fā)行5行5列的亂數(shù)表，交易時(shí)讓用戶輸入表中指定行列的數(shù)字，由此可以設(shè)定每次各不相同的密碼。不過，如果用戶在釣魚網(wǎng)站輸入5行5列亂數(shù)表中的所有數(shù)字，犯罪分子就可以為所欲為了。

而一次性密碼利用只在一定時(shí)間內(nèi)有效的數(shù)字作為密碼，即使被騙走也不用太擔(dān)心。

在生成一次性密碼的專用裝置方面擁有較高份額的是EMC日本公司。該裝置是名為“RSA SecurID”的令牌，每60秒就會(huì)生成一個(gè)6位數(shù)密碼并顯示出來，這些密碼是根據(jù)用戶特有的值和時(shí)間，通過復(fù)雜的計(jì)算公式得出的。該公司RSA事業(yè)本部部長(zhǎng)水村明博強(qiáng)調(diào)該裝置的安全性稱：“幾乎不可能根據(jù)顯示的數(shù)字推斷出計(jì)算公式�！�

在專門的網(wǎng)上銀行中，日本網(wǎng)上銀行（The Japan Net Bank）從2006年開始為所有用戶發(fā)放令牌。2013年，三井住友銀行也免去了令牌的包月使用費(fèi)。