新的黑客技术已经攻破一次性密码。

　　

　　七月中旬，加州山景市的一家叫做Ferma的建筑公司的财务经理登录到公司的银行账户去支付账单，使用的是一次性密码，想确保交易更加安全。然而，经理的电脑却有黑客侵入。之后的鉴定揭示，他先前访问另一个网站使得一种恶意程序侵入到他的计算机内。虽然经理进行了合法支付，但该程序却开启了27比对不同银行账户的交易，在瞬间吞掉了44万7千美金。Ferma公司的总裁罗伊.法拉利（Roy Ferrari）说：“他们不仅进入我这里的系统，他们也清楚他们可以取走多少钱，并且他们做到了极限。”尽管Ferma使用了一次性密码，一种由小型电子设备每30或60秒产生的一个6位码，但盗取事件仍然发生了。在线盗窃已经能够应对这种附加的安全机制，通过创建特殊的程序?D?D实时特洛伊木马?D?D可以在账户持有者在线的情况下与银行进行交易，这使得传统的一次性密码成为金融安全链中最薄弱的环节。法拉利说：“我想它已经是个被破坏的模型了。”安全专家认为，银行和消费者同样需要适应，银行需要给户主提供更安全的措施，而消费者需要采取更多的步骤确保安全，尤其是保护他们用于资金交易的计算机。亚特兰大的SecureWorks安全公司的恶意软件研究主管乔.斯图尔特（Joe Stewart）说：“我们需要彻底重新思考，消费者应该如何与银行在线交互。抛开所有涉及技术的问题，如果攻击者可以在你的系统上运行他们的代码，他们在你电脑上就可以做任何你能做的事情。他们就成了你。”马萨诸塞州倍德福特的安全公司RSA认为，没有公司或者消费者可以依赖任何单一因素来保证交易安全。该公司生产一次性密码设备，被称作SecurID。公司的产品市场部、目前也是EMC一个分支部门的副主席山姆.柯里（Sam Curry）认为，一次性密码技术和其他额外安全措施可以提高对黑客的防御，但不能永远把他们拒之门外。“如同一项技术的淘汰，公司应该对安全的美好前景等预言都保持机敏，任何事都有可能被打破。”柯里补充说，安全措施可能无法消除威胁，但它们能让犯罪分子实施特殊攻击变得代价高昂。问题就在于找到一个对于消费者最佳的方法，将成本、实用性和安全性结合在一起的方法。SecureWorks的斯图尔特建议，一种解决方案是使用软件或者专用的终端来保证恶意程序无法入侵消费者与银行之间的通信。使用旧式电脑或者闲置笔记本的用户可以安装免费的Linux操作系统，并专门使用该机器进行金融交易。一些安全公司也开发了软件，允许人们在计算机上开辟出一个安全区域，从而消除通信被拦截的威胁。斯图尔特说：“但回到原始问题，‘你能相信你在使用的计算机么？它感染了那些会在你登录你的银行账户时产生影响的东西了么？’”得克萨斯州圣安东尼奥的Frost & Sullivan公司是一家全球性商业资讯公司，其欧洲、中东和非洲地区信息安全部经理爱丽尔.艾维坦（Ariel Avitan）认为，另外一种方法是使用另一种通讯手段，比如从电话机打电话或者发送一个存储管理服务消息。艾维坦说：“这是个猫捉老鼠的游戏，犯罪分子打开一扇门，我们关上它，他们又会去找新的。” 寻找解决方案并迫使金融公司采用它们是两个不同的挑战。2005年10月，在联邦金融机构检查委员会强制增加在线银行账户额外安全措施之后，银行仅仅采用了双因素认证。Ferma的法拉利已经决定了采取回归低科技的方法。他说：“我们甚至已经回到发放人工支票的阶段了。”