【通信产业网讯】（记者 逄丹）2011临近岁末，中国互联网史上最大规模的一次用户资料泄漏事件爆发，暴露出业界惯用的静态密码实际存在的巨大漏洞，而信息产业安全本身具有的拖尾效应，则可能把这种不安全进一步扩大。

“目前已有接近一亿用户帐号和密码在网上公开扩散，特别是部分互联网用户习惯将邮箱、聊天、微博、在线游戏、网上支付、购物、网银等帐号的密码设置一致或帐号密码一致，所谓拖尾效应就是黑客根据目前泄露的用户信息，尝试登陆其他网站，由于账号或密码一致，其他未陷入泄露风波的网站也会被连带攻击，这种攻击模式具有放大效应。”神州信息服务SBU副总裁张大鹏在接受《通信产业报》（网）记者采访时表示。

为此，包括CSDN在内的网站呼吁广大网民尽快修改重要账号密码，专家也给出了亡羊补牢的措施：不同网站设置不同密码；密码设置足够健壮，8位以上且包含大小写、乱字符等不规则组合；定期修改密码。

然而，这些措施却不是长久之计。

“互联网用户毕竟是普通人，不太可能同时记忆10多组8位以上复杂组合密码，而且还要定期修改，估计不出三个月，自己都搞不清楚自己设置了什么密码，那些几个月不用一次的账号，到用时就更想不起来了。”张大鹏说。

他进一步阐释了上述措施的弊端。“静态密码‘亡羊补牢’措施，对互联网用户来说可行性不高。这类措施对于目前的用户账号和密码泄密风险也无济于事，即使用户修改密码，黑客还是可以通过自己的途径直接从网站内部拿到最新修改后的密码。”

既然静态密码存在种种弊端，又该如何应对密码被攻击的问题呢？采用动态密码技术，避免静态密码脆弱性成为业界共识。

目前，在大企业内部多采用RSA提供的传统硬件令牌动态密码解决方案。然而，这种方案对于多数互联网企业以及中小企业却并不适合。“传统硬件令牌动态密码解决方案在大规模部署时存在项目前期投入巨大、实施费用高、管理和维护成本降不下来等诸多问题，这也是很多网站忍痛选择继续使用低级别高风险的静态密码的原因所在。”神州信息服务SBU新业务部技术总监梅林在接受《通信产业报》（网）记者采访时表示。

针对现实解决方案存在的各种问题和弊端，神州信息推出了一种全新的解决方案——手机动态令牌服务解决方案。

梅林向记者详细阐释了这一解决方案，根据相应的算法，手机动态令牌产生的动态密码随时间变化而变化，动态密码仅在变化周期内有效，且使用一次后作废，使用过期的动态密码将无法通过认证。

对于企业来说，相对传统的硬件动态令牌解决方案，此种方案部署简单，无需高额投资，甚至无需初期投资即可使用，而且管理也比较方便。而对于用户来说，授权用户下载客户端进行安装后，进行相应的PIN码设置之后便可使用。每使用一次，密码变化一次，这样用户在使用PC登录网站时，不仅要输入静态密码，还需要输入手机动态令牌给出的随机密码，操作比较简单。

当然，这需要和互联网厂商进行合作，只有互联网厂商采用该解决方案之后，用户手中的动态密码才能真正发挥作用。

“目前，已经有不少支付网站和互联网厂商对于手机动态令牌解决方案表现出很大的兴趣。同时为了方便企业采用，神州信息也推出了两种较为成熟的服务模式，分别是按月收费和按次收费。”梅林表示。

他说，对于那些中小企业来说，员工经常出差需要远程办公，一般采用按月收费的模式，每位员工只需花费十几元到几十元的费用。而对于一些网站来说，由于活跃度高的用户一般只有20%，则可以采用按次收费的模式。

目前，前者收费模式已经在上海电信使用。上海电信服务于成千上百的中小企业客户，这些客户希望以一种简单快速且便宜的方式部署身份认证解决方案，便采用神州信息的手机动态令牌解决方案。

“该方案目前已经部署完毕，同时和上海电信的BOSS系统已经完成对接工作。企业客户使用之后，只需要通过计费系统扣除对应手机号用户的话费即可，非常方便。”梅林说。

“我们也在和一些知名电子商务网站及公共邮箱网站等进行合作，未来希望为更多的用户提供身份认证工作，保护他们的安全。”张大鹏表示。

数据显示，针对身份认证的攻击已经成数倍增长，而在2012年将进一步呈现增加趋势，也可以预计神州信息推出的手机动态令牌解决方案将有更大作为。