提供一次性密码技术的信息安全厂商Authenex亚洲区首席代表欧阳宏明表示,网络钓鱼攻击将可利用伪造网页的方式,窃取用户所登录的用户名称及密码,即便是标榜单次使用的OTP也难逃遭盗用的命运。目前,现有提供一次性密码技术的厂商包括RSA、Authenex、ActiveCard等。
一次性密码(One-time password, OTP)的产生方式,主要是以时间差做为服务器与密码产生器的同步条件,密码产出器在用户有登入需求时,将随机数产出只可使用一次的密码,用以解决密码容易遭到破解的问题。
OTP一般分为计次使用以及计时使用两种,计次使用的OTP产出后,可在不限时间内使用;计时使用的OTP则可设定密码有效时间,从30秒到两分钟不等。欧阳宏明说,当用户登入钓鱼攻击的假网页后,黑客将可在密码有效期间内登入认证服务器,获取所想要的个人信息或进行不当行为。
Authenex便以推出内含多种认证方式的单一令牌(Token)做为应对,包括OTP、PKI(Public Key Infrastructure,公共密钥基础架设),以及Challenge and response(挑战回答)认证协议,等三种认证方式。台湾区客户以银行、海运以及航空业者为主。
同样提供OTP安全产品的RSA台湾区技术顾问黄惠美则表示,OTP技术的确有遭受网络钓鱼攻击的可能性,但她强调,受到攻击的机率并不高,由于台湾地区采用OTP做为商业用认证方案的比例仍低,截至目前为止台湾地区尚未有相关灾情传出。