协议(7)

但是,在银行中的应用结果可能不如在军队中一样好。首先,钱包被偷后,窃贼可以从计算器中读出你的8位PIN数字——?这可能是旧密钥。如果你只使用一张银行卡,则窃贼3次就可以猜测出PIN的概率从需要3000个样本缩减到10个样本。第二,如果在黑手党控制的商店中(或在一个终端已经被悄悄地重新编程而店主尚未知情的商店中)使用银行卡,则攻击者就具备了劫掠你账号的一切条件,并且不止于此——?他们可以计算一系列CAP码以备将来使用,并将你的账号用于罪恶目的,比如洗钱。第三,用刀逼着你交出银行卡的罪犯可以验证你告诉他的PIN是否真实。进一步的问题是,这种机制可用于多种协议中,如果使用银行卡购书时必须在电话中说出一次性身份验证码,则书商可以使用该身份验证码登录你的银行,这显然不是什么好事儿。更深层的问题是,一旦大量银行都使用一次性密码,钓鱼者只需重写其脚本,就可以进行实时的中间人攻击——?在早期采纳这种机制的银行,比如荷兰与斯堪的纳维亚地区的银行中,这种攻击已有案例,要了解其工作机理,我们先看一下军事系统中的实例。

读书导航