问：动态式密码令牌容易受到中间人(MITM)攻击吗？

　　答：动态式密码(one-time password)令牌是一种双重身份认证系统。最近，许多人谈到用这种技术作为防御网络钓鱼攻击的方法。

    在固定的间隔时间段(如30秒或者60秒钟)，通过生成随机的PIN（密码）号码，动态式密码发挥作用。这个PIN号码必须要在网站的登录页面随同用户ID和密码一起输入。用户的ID和密码是该系统中的第一个因素，为用户所知；令牌是第二个因素，是用户持有的。

　　钓鱼攻击网站是一个假冒网站，看上去很像银行、金融机构或者商家的真正网站。钓鱼网站可以窃取用户的ID和密码，使得攻击者之后能够登录，榨干用户账户上的全部资金或者恶意使用商业账户。

　　但是，如果登录时需要动态式密码值，钓鱼攻击者要攻击那个网站也需要这个值。由于这个数字是不断变化的，所以，按理来说，当钓鱼攻击者之后再想登录这个网站时，这个动态式密码值已经改变了。

　　如果钓鱼攻击者建立了假冒网站也同时可以获取动态式密码值，那么这个钓鱼攻击者必须立刻使用这些信息，即在30至60秒之内获得访问权限。

　　在这样短的时间里，攻击者不可能使用动态式密码令牌突破一个网站。惟一可能的方法就是采用中间人攻击(man-in-the-middle，即MITM)。在这种攻击中，黑客在用户和合法网站之间设立一台服务器。这台服务器与用户和真正的网站同时进行通讯，能够实时传送包括动态式密码值之内的登录信息。由于这种攻击是随时发生的，它可以击败通过不断变化令牌值建立的保护。

　　安全专家Bruce Schneier在2005年简要介绍了MITM攻击。当时，动态式密码刚开始受到许多关注，随着防御钓鱼攻击而逐渐流行起来。

    但是，实时的MITM攻击直到2006年才成为现实。当时，俄罗斯的黑客使用这种方法成功地突破了一个花旗银行的网站。2007年1月，另一个黑客组织发明了一个工具，能够拷贝现有的银行网站网页，然后生成一个虚假的URL，设立一个服务器，实时向黑客回传登录信息。这个黑客组织在网络上出售这个工具。

　　这种欺骗活动是通过引诱不加防备的用户打开垃圾邮件中的虚假URL链接而奏效的。一旦用户登录这个假冒网站，他们的登录信息就会立即传送到合法的网站，而黑客在那里等着掏空被害人银行账户的全部资金。

　　虽然这样的攻击是孤立的事件，并且很快被封闭。但是，EMC公司RSA安全小组的安全专家预测说，随着黑客不断完善这种攻击技术，并日益高明，实时MITM攻击在一年之内将变得更加普通。