Schneier on Security 博客提出了一些优点：RSA Security, Inc Hacked。

令人担忧的是，该公司的 SecurID 双因素身份验证产品的源代码被盗，这可能使黑客能够进行逆向工程或以其他方式破坏系统。如果不知道 1) SecurID 的密码学是如何工作的，以及 2) 究竟从公司的服务器上窃取了什么，很难对这是否可能或可能做出任何评估。我们也不知道，公司的宣传既缺乏细节，又缺乏保证。

...

安全就是信任，失去信任就没有安全。SecurID 的用户信任 RSA Data Security, Inc. 来保护保护该系统所需的机密。在他们没有做到的情况下，该公司已经失去了客户的信任。

更新以修正一些误解.... SecurID 访问代码计算已经被逆向工程 - 请参阅RSA SecurID 数据泄露和Cain and Able。该算法需要 RSA 提供的特定于令牌的 AES 密钥（“种子记录”）以及令牌。

Schneier 博客中的评论推测了可能的影响。似乎每个序列号的某种种子数据库已被盗，使得知道序列号（印在令牌背面）的攻击者能够找出令牌的时钟设置（例如，通过查看一些访问代码） ) 来获取种子并计算未来的访问代码。如果 SecurID 单独用于身份验证，这就是他们所需要的。如果它是双因素系统的一部分，例如与密码或 PIN 一起使用，这会将其减少为单因素系统。

我很惊讶 SecurID 已经在他们的设计中通过如此多的安全性而摆脱了如此之久！我想知道他们是否保留了他们出售的所有设备的种子——这似乎是一个很大的风险。

更新：洛克希德公司遭到攻击，据报道是通过复制的 SecurID 密钥： 洛克希德马丁公司确认它受到攻击 – AllThingsD

更新：正如@DW 所指出的，Dan Kaminsky 的关于 RSA SecurID 妥协的博客对这里的问题进行了更完整的讨论，这通常与我在此处提到的博客评论一致，尽管它并没有对 Schneier 对基于新攻击的恐惧给予太大重视关于源代码的假设盗窃。

新闻报道表明，RSA 安全漏洞可能使攻击者能够克隆（复制）Lockheed-Martin 员工使用的 SecurID 令牌以访问 Lockheed-Martin 网络。（也有报道称RSA Security 正在通过将客户的 SecurID 令牌替换为新令牌来做出响应。）

不幸的是，目前很难知道可能发生了什么。RSA Security 一直对黑客获得访问权限的 RSA 信息或系统保持沉默。技术细节对评估早期 RSA 安全漏洞的潜在影响有很大影响。最坏的情况是，攻击者可能窃取了 SecurID 令牌中存在的加密密钥材料，以及有关 SecurID 令牌持有者的用户名/帐户的信息。这将是非常严重的，因为关键材料是控制网络访问的核心机密；有权访问密钥材料的入侵者可以克隆 SecurID 令牌并发起许多强大的攻击。还有许多其他不太严重的可能性。例如，另一个极端是黑客可能没有 t 访问 RSA 的任何敏感信息。在这两个极端之间有很多可能性。在这一点上，我们所拥有的只是猜测。

很难知道发生了什么的部分原因是 RSA Security 对此闭口不谈。这使得很难知道风险可能是什么，这反过来又使 SecurID 客户更难保护他们自己的系统免受这些风险的影响。在缺乏信息的情况下，很容易假设最坏的情况，但很难知道这是否真的合理。（个人观点：这些事件引发了人们对 RSA Security 是否明智地处理此事以及他们的行为是否符合客户的最大利益的问题。在此事件之后，我预计许多安全人员将更不愿意相信他们并在未来信任 RSA Security。）

很多 FUD，但有些片段出来了。引自http://www.metafilter.com/101636/RSA-has-been-hacked

计算机安全专家 Whitfield Diffie 是现在广泛用于电子商务的密码系统的发明者，他说，一种可能性是“万能钥匙”——一个用作加密算法的一部分的大秘密数字——可能已被盗。

我们已经达到了一些信息开始流出的地步，请参阅 Uri Rivner的这篇博文。Wanner 在这篇ISC 博客文章中进一步总结了这一点。正如Wanner所详述：

• 攻击的第一部分是针对非知名目标的鱼叉式网络钓鱼尝试。有关目标的信息很可能是从社交网站中挖掘出来的。只需要一名目标员工被诱骗打开附加的 Excel 电子表格。
• Excel 电子表格包含针对 Adob​​e Flash 漏洞的零日漏洞利用。
• 该漏洞利用添加了一个后门。并安装了远程管理程序。
• 然后，恶意软件会捕获用户帐户的凭据，以破坏更高价值的目标。

它当然看起来像是一种相当简单但有针对性的攻击。当然，他们是在抛出 APT 流行语。虽然我可能不同意“A”，但“PT”似乎很合适。