针对动态口令的攻击方式有哪些

针对动态口令的攻击方式有以下这些：

• 网络窃听：由于在网络上传输的口令是经过单向散列变换后的数据，用户口令并不在网上传输，所以网络即使被窃听，攻击者也无法从得到的信息中推出用户口令。

• 口令泄露：对于口令泄露，只能有效抵御。因为用户如果不妥善保管口令，口令还是易被攻击者通过窥探、垃圾搜索等手段获取。

• 字典/穷举攻击：由于使用了双因子（用户口令和不确定因子）进行散列变换生成动态口令，使攻击者利用字典/穷举攻击变得困难，但如果用户口令太短，仍然容易被攻击者攻破。

• 截取/重放：由于加入了不确定因子，用户每次提交的认证数据都不相同，攻击者截取的认证数据在下次认证中没有任何意义。

• 伪造服务器攻击：大多数模式只实现了服务器对用户的认证，并没有对服务器进行认证，尤其是基于事件的认证机制不能抵御小数攻击。现在有许多改进算法结合证书和密码技术很好地克服了这一缺点。

加强动态口令安全性的办法有：

• 不要选择攻击者可以轻易猜测到的密码：虽然这一点是显而易见的，但这是最常见的错误之一。您可以通过不使用字典单词、以前破译的密码、重复字符或用户名或应用程序/服务的密码来提高密码安全性。

• 使用密码强度计：建议不要要求超过6个字符。相反，它建议公司使用密码强度计来告诉用户，他们的密码是强是弱。即使不太需要，大多数人也不想通过使用黄色或红色范围内的密码来降低强度计数。组织不应该要求员工在特定的时间间隔更改密码，比如每月或每季度。最后，他们建议只在密码被泄露或怀疑被泄露时才提示员工更改密码。

• 仅使用生物识别技术并结合物理身份验证：生物识别技术并非万无一失。因此，您应该只将它们作为双因素身份验证的一部分来使用。第二个身份验证应该是这个人所拥有的东西，比如一个设备。

• 至少每30天注销一次所有账户：我知道我不能成为唯一一个可能多年没有退出某些账户的人。但是一直保持登录会增加被人窃取密码的风险。