网银的出现使我们在家动动指头就可以完成过去需要到柜台排队才能完成的事情,既方便了普通用户也大大提高了金融机构的运作效率,削减了其运作成本。但是,网银同样逃脱不了网络普遍面临的安全威胁。从网银业务开通伊始,网银大盗就如影随形。 网银系统可分为银行服务器、网络、客户端三部分。
近年来网银安全事故时常发生,而中国各大银行也不断对自身系统进行升级,服务器端的安全性已经极高,因而大盗们更多地将目标集中在数量众多但信息安全意识良莠不齐的用户(客户端)这里。而用户的身份认证这个需要用户操作的地方,就成了网银这颗“鸡蛋”上的缝,受到众大盗们的“青睐”。
动态口令也有缺陷 自从采用动态口令技术后,人们不用再费力记密码,也不需要担心木马攻击了。但是,动态口令能像我们希望的那样,为网银的安全提供保障吗? 实际上,随着动态口令的普及,它的缺陷也越来越突出地暴露在大家面前。例如“刮刮卡”,因为它的口令数量固定,除去需定期更换的不便外,更重要的是它的安全隐患:如果长时间收集信息,就有可能收集齐所有动态口令,完全破解这种刮刮卡形式的动态口令,甚至复制或窃取那张小纸片,也可以冒用用户的身份信息。
从网银交易过程来看,动态口令仅对用户身份进行认证,而没有对交易过程进行验证。待用户身份确定之后,“中间人”便拦截用户的转账操作,篡改数据后发送给服务器,而服务器没有办法区分给它发出转账指令的是用户还是木马,直接执行了转账,“中间人”再把服务器返回的信息篡改后显示给用户。
这样,“中间人”就轻而易举地绕过动态口令,获取了用户的个人认证信息,完全控制了这次交易。而动态口令也就成为一个“形同虚设”的“保镖”,无法真正保护用户账户的安全。而实际发生的一系列案例,也证明了动态口令无法锁牢用户的账户。 真正的“防盗门” 中国金融认证中心总经理李晓峰先生认为:完成一个安全交易,在应用层面上必须保证交易双方不仅要有身份认证,要有保密、完整、未被篡改的数据,还需要保证这个交易是不可抵赖的,一旦与银行出现交易纠纷,这些都是必需的法律依据。
因此,网银必须具备真正可靠的法律上认可的电子签名和证书,这才是问题的最终解决办法。 同样是使用双重身份认证技术,带有智能卡芯片的USBKey数字证书因采用了公钥体系(PKI),支持电子签名,它的安全性更高。由于USBKEY是单独的硬件设备,而新一代的USBKey还添加了交易认证技术,使得网络钓鱼攻击者也无法伪造用户签名,冒充用户登录服务器,也无法篡改用户的交易数据,从而抵抗类似“交易伪造”或“交易劫持”等针对交易而不是针对身份的攻击。
计世 链接 什么是动态口令 动态口令,又叫动态令牌、动态密码。它的主要原理是:用户登录前,依据用户私人身份信息,并引入随机数产生随机变化的口令,使每次登录过程中传送的口令信息都不同,以提高登录过程中用户身份认证的安全性。 由于口令每次都变化,即使得到密码也没用,而且这种动态口令由专用算法生成,随机性高,不太容易被破解。
因此,动态口令极大地提高了用户身份认证的安全性。 2007年,银监办发布[2007]134号通告,通知各商业银行对所有网上银行高风险账户操作统一使用双重身份认证。动态口令(OTP)也因此逐渐走入公众视线,被银行大力推荐。
网银的出现使我们在家动动指头就可以完成过去需要到柜台排队才能完成的事情,既方便了普通用户也大大提高了金融机构的运作效率,削减了其运作成本。但是,网银同样逃脱不了网络普遍面临的安全威胁。从网银业务开通伊始,网银大盗就如影随形。 网银系统可分为银行服务器、网络、客户端三部分。近年来网银安全事故时常发生,而中国各大银行也不断对自身系统进行升级,服务器端的安全性已经极高,因而大盗们更多地将目标集中在数量众多但信息安全意识良莠不齐的用户(客户端)这里。而用户的身份认证这个需要用户操作的地方,就成了网银这颗“鸡蛋”上。
答:网上消费购物或网上对外转账的支付密码卡详情>>
答:详情>>
