大砲開講

前幾天國外新聞報導 (台灣CNET也有報導) PayPal 將提供免費的密碼產生器給商業用戶，其他用戶則要索取五美元。這個密碼產生器產生的密碼屬於一次性密碼 (one-time password)，用過即丟。



這則新聞讓我想到我的匯豐銀行在幾個月前，為了改善網路交易安全，提供他們的顧客免費的加密小精靈，



使用者在登入網路銀行與轉帳交易都需要輸入使用者的密碼小精靈所產生的認證碼，



才能夠登入或進行跨行交易。說實在的，用起來還真不錯，讓我安心不少，也建議國泰世華銀行採用此系統，只是他們不理會我的建議囉。

在這裡要討論的是它的安全性，真的安全嗎？理論上，它有一百萬組密碼 (10x10x10x10x10x10=1,000,000)，看起來蠻多，可以破解它嗎？以當今處理器的速度，應該不難，但重點在它所使用的演算法，有這麼容易破解嗎？如果產生的密碼夠亂的話，應該很難被破，但如果產生的密碼不夠亂，那是有可能被破解的。嘻嘻...密碼學理論忘了差不多，也許說錯了，不曉得有沒有這方面的專家，可以提供意見呢？

-----