網(wǎng)上銀行身份認證設(shè)備問題及防范措施_第1頁
已閱讀1頁,還剩0頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、——一——一一——一——一——一一經(jīng)營管理網(wǎng)上銀行身份認證設(shè)備問題及防范措施鄭松杰(廣東省高級技工學(xué)校,廣東惠州516100)【摘要】通過對國有五大商業(yè)銀行和招商銀行的網(wǎng)上銀行身份認證方案進行深入學(xué)習(xí),指出現(xiàn)有網(wǎng)上銀行身份認證設(shè)備存在的問題,并提出現(xiàn)在和未來安全的網(wǎng)上銀行身/M/Aia方案及防范措施【關(guān)鍵詞】網(wǎng)上銀行;身$hikia;防范措施我國現(xiàn)階段的網(wǎng)上銀行指銀行通過信息網(wǎng)絡(luò)提供的金融服務(wù)。網(wǎng)上銀行支付在中國從1998年第一筆300

2、元的訂單,到2010年的10858億元的網(wǎng)上支付交易額,飛速發(fā)展,正在廣泛地滲透到人們生活的方方面面。盡管各家銀行不斷對其網(wǎng)上銀行進行升級,但網(wǎng)上銀行盜詐事件仍時有發(fā)生。盜詐背后,筆者認為銀行應(yīng)負主要責任,因為網(wǎng)上銀行的身份認證和銀行的服務(wù)意識存在問題,其次責任是用戶的使用習(xí)慣。一、網(wǎng)上銀行身份認證設(shè)備存在的問題1靜態(tài)密碼技術(shù)。銀行登錄方式分兩種,一種是采用“卡號密碼”的方式登錄,此類技術(shù)代表為網(wǎng)上個人銀行大眾版,卡號、密碼的保管非常重

3、要,如果卡號和密碼不慎被他人取得。他人即可通過網(wǎng)上銀行大眾版通過轉(zhuǎn)賬、網(wǎng)上支付卡轉(zhuǎn)賬等方式竊取客戶賬戶資金。另一種是采用。用戶名登錄密碼”的方式登錄,此種方式較為安全,在安全設(shè)計上有考慮到用戶的需要既滿足了用戶查詢相關(guān)信息的需要,又保證了用戶資料的安全,同時把查詢和支付、轉(zhuǎn)賬等業(yè)務(wù)分開,增加安全系數(shù)。2動態(tài)口令卡、動態(tài)口令牌、手機動態(tài)口令。電子口令卡是指以矩陣形式印有若干字符串的卡片,每個字符串對應(yīng)一個唯一的坐標。使用電子銀行口令卡會存

4、在卡片丟失或被窺視、拍照、復(fù)印等非技術(shù)風(fēng)險;動態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏、根據(jù)專門的算法每隔一定時間自動更新動態(tài)口令的專用硬件。2011年1月以來國內(nèi)多省市發(fā)生以“E令卡網(wǎng)上銀行升級”為名,通過手機短信和制作克隆網(wǎng)站實施詐騙的案件。手機動態(tài)口令是利用手機作為隨機密碼生成或者接受終端,用戶在登錄應(yīng)用系統(tǒng)時候輸入手機上的生成或者接收到的密碼不停變化的隨機密碼,但是手機的缺點是容易被監(jiān)聽,被犯罪分子截取密碼。3證書用戶。目前

5、網(wǎng)上銀行應(yīng)用最普遍的基于PKI體系的數(shù)字簽名產(chǎn)品是USBKEY,它是一種USB接口的硬件設(shè)備,內(nèi)置國密安全芯片,有一定的存儲空間,可以存儲用戶的私鑰以及數(shù)字證書,利用USBKey內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證。第一代USBKEY產(chǎn)品解決了用戶私有信息的傳輸安全問題,有效預(yù)防了基于釣魚網(wǎng)站的詐騙事件的發(fā)生。但是在交換操作方面還存在隱患,當用戶長時間插入USBKEY時,黑客可以通過木馬截獲PIN碼,遠程控制,冒用客戶的USBKey進行身

6、份認證,發(fā)生騙簽事件。二、網(wǎng)上銀行身份認證方案及防范措施1認證方案。在現(xiàn)在的三種認證方案中,可以說沒有哪一種是絕對的安全。在網(wǎng)銀發(fā)展的初期,以市場推廣為主要訴求,以方便性和高性價比來滿足市場初期需要對系統(tǒng)需求和身份認證機制的安全性放在第二位來考慮,因此首先出現(xiàn)的是基于靜態(tài)密碼的大眾版網(wǎng)上銀行。然而隨著利用釣魚網(wǎng)站進行詐騙事件的逐漸增多,國內(nèi)眾多商業(yè)銀行的身份認證產(chǎn)品開始轉(zhuǎn)向推廣更加安全的USBKEY電子簽名設(shè)備但是隨著騙簽事件的增多。網(wǎng)

7、上銀行何去何從借鑒國內(nèi)最好的網(wǎng)上第三方支付“支付寶”的身份認證解決方案本人認為在現(xiàn)階段,網(wǎng)上銀行應(yīng)該使用USBKEY手機短信檢驗碼的認證方式,每一筆網(wǎng)上交易需要登錄密碼支付密碼u盾u盾密碼手機短信檢驗碼完成,非常安全在未來的網(wǎng)上銀行身份認證發(fā)展中可能會用到指紋液晶KEY方案,用指紋液晶KEY登陸網(wǎng)銀是在KEY上進行指紋認證以代替從電腦鍵盤輸入PIN碼,并在KEY上顯示交易信息,從物理上徹底杜絕黑客攻擊的途徑。從而有效防止網(wǎng)站釣魚、遠程挾

8、持、信息篡改、騙簽等安全隱患。2防范措施。銀行應(yīng)該增強服務(wù)意識,出現(xiàn)問題后,不要總是把問題都推到用戶身上,應(yīng)該多想想銀行本身的問題,應(yīng)該多做一些事情服務(wù)好用戶。例如對于USBKey騙簽事件,銀行應(yīng)該在用戶進行每一筆網(wǎng)上交易中給予適當?shù)奶崾?,在需要插入USBKey時,彈出對話框提示用戶插入,在完成交易后,馬上彈出一個對話框,提示用戶已經(jīng)完成交易,請及時拔走USBKey,這樣做相信騙簽事件發(fā)生的機率會很低。目前廣大網(wǎng)民對電子支付和網(wǎng)上銀行市

9、場的認知程度還很有限,銀行在對用戶進行網(wǎng)上銀行安全的宣傳、推廣和教育上應(yīng)承擔相應(yīng)責任。例如本人作為工商銀行U盾客戶已經(jīng)有6年時間,在撰寫本論文時查閱大量資料,發(fā)現(xiàn)原來工商銀行早在2008年就已經(jīng)提供USBKEY手機動態(tài)檢驗碼的認證方式,但是本人及周圍對網(wǎng)上銀行安全性要求較高的用戶都不知情。首先應(yīng)該選擇一種安全的支付方式,寧愿多支付安全成本,保證資金安全,也不選擇安全性不好的支付方式。同時應(yīng)該增強網(wǎng)上支付安全意識,培養(yǎng)良好的網(wǎng)上支付習(xí)慣。

10、參考文獻【l】支付寶安全中心https:I/securitycenteralipaycom/sc/ind髓h衄【2】工商銀行安全提示https:llmybankicbccolnen/icbe/perbank/inde露jsp企業(yè)導(dǎo)報2011年第9期8l萬方數(shù)據(jù)——一——一一——一——一——一一經(jīng)營管理網(wǎng)上銀行身份認證設(shè)備問題及防范措施鄭松杰(廣東省高級技工學(xué)校,廣東惠州516100)【摘要】通過對國有五大商業(yè)銀行和招商銀行的網(wǎng)上銀行身份

11、認證方案進行深入學(xué)習(xí),指出現(xiàn)有網(wǎng)上銀行身份認證設(shè)備存在的問題,并提出現(xiàn)在和未來安全的網(wǎng)上銀行身/M/Aia方案及防范措施【關(guān)鍵詞】網(wǎng)上銀行;身$hikia;防范措施我國現(xiàn)階段的網(wǎng)上銀行指銀行通過信息網(wǎng)絡(luò)提供的金融服務(wù)。網(wǎng)上銀行支付在中國從1998年第一筆300元的訂單,到2010年的10858億元的網(wǎng)上支付交易額,飛速發(fā)展,正在廣泛地滲透到人們生活的方方面面。盡管各家銀行不斷對其網(wǎng)上銀行進行升級,但網(wǎng)上銀行盜詐事件仍時有發(fā)生。盜詐背后,

12、筆者認為銀行應(yīng)負主要責任,因為網(wǎng)上銀行的身份認證和銀行的服務(wù)意識存在問題,其次責任是用戶的使用習(xí)慣。一、網(wǎng)上銀行身份認證設(shè)備存在的問題1靜態(tài)密碼技術(shù)。銀行登錄方式分兩種,一種是采用“卡號密碼”的方式登錄,此類技術(shù)代表為網(wǎng)上個人銀行大眾版,卡號、密碼的保管非常重要,如果卡號和密碼不慎被他人取得。他人即可通過網(wǎng)上銀行大眾版通過轉(zhuǎn)賬、網(wǎng)上支付卡轉(zhuǎn)賬等方式竊取客戶賬戶資金。另一種是采用。用戶名登錄密碼”的方式登錄,此種方式較為安全,在安全設(shè)計上

13、有考慮到用戶的需要既滿足了用戶查詢相關(guān)信息的需要,又保證了用戶資料的安全,同時把查詢和支付、轉(zhuǎn)賬等業(yè)務(wù)分開,增加安全系數(shù)。2動態(tài)口令卡、動態(tài)口令牌、手機動態(tài)口令。電子口令卡是指以矩陣形式印有若干字符串的卡片,每個字符串對應(yīng)一個唯一的坐標。使用電子銀行口令卡會存在卡片丟失或被窺視、拍照、復(fù)印等非技術(shù)風(fēng)險;動態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏、根據(jù)專門的算法每隔一定時間自動更新動態(tài)口令的專用硬件。2011年1月以來國內(nèi)多省市發(fā)生以

14、“E令卡網(wǎng)上銀行升級”為名,通過手機短信和制作克隆網(wǎng)站實施詐騙的案件。手機動態(tài)口令是利用手機作為隨機密碼生成或者接受終端,用戶在登錄應(yīng)用系統(tǒng)時候輸入手機上的生成或者接收到的密碼不停變化的隨機密碼,但是手機的缺點是容易被監(jiān)聽,被犯罪分子截取密碼。3證書用戶。目前網(wǎng)上銀行應(yīng)用最普遍的基于PKI體系的數(shù)字簽名產(chǎn)品是USBKEY,它是一種USB接口的硬件設(shè)備,內(nèi)置國密安全芯片,有一定的存儲空間,可以存儲用戶的私鑰以及數(shù)字證書,利用USBKey內(nèi)

15、置的公鑰算法實現(xiàn)對用戶身份的認證。第一代USBKEY產(chǎn)品解決了用戶私有信息的傳輸安全問題,有效預(yù)防了基于釣魚網(wǎng)站的詐騙事件的發(fā)生。但是在交換操作方面還存在隱患,當用戶長時間插入USBKEY時,黑客可以通過木馬截獲PIN碼,遠程控制,冒用客戶的USBKey進行身份認證,發(fā)生騙簽事件。二、網(wǎng)上銀行身份認證方案及防范措施1認證方案。在現(xiàn)在的三種認證方案中,可以說沒有哪一種是絕對的安全。在網(wǎng)銀發(fā)展的初期,以市場推廣為主要訴求,以方便性和高性價比

16、來滿足市場初期需要對系統(tǒng)需求和身份認證機制的安全性放在第二位來考慮,因此首先出現(xiàn)的是基于靜態(tài)密碼的大眾版網(wǎng)上銀行。然而隨著利用釣魚網(wǎng)站進行詐騙事件的逐漸增多,國內(nèi)眾多商業(yè)銀行的身份認證產(chǎn)品開始轉(zhuǎn)向推廣更加安全的USBKEY電子簽名設(shè)備但是隨著騙簽事件的增多。網(wǎng)上銀行何去何從借鑒國內(nèi)最好的網(wǎng)上第三方支付“支付寶”的身份認證解決方案本人認為在現(xiàn)階段,網(wǎng)上銀行應(yīng)該使用USBKEY手機短信檢驗碼的認證方式,每一筆網(wǎng)上交易需要登錄密碼支付密碼u盾

17、u盾密碼手機短信檢驗碼完成,非常安全在未來的網(wǎng)上銀行身份認證發(fā)展中可能會用到指紋液晶KEY方案,用指紋液晶KEY登陸網(wǎng)銀是在KEY上進行指紋認證以代替從電腦鍵盤輸入PIN碼,并在KEY上顯示交易信息,從物理上徹底杜絕黑客攻擊的途徑。從而有效防止網(wǎng)站釣魚、遠程挾持、信息篡改、騙簽等安全隱患。2防范措施。銀行應(yīng)該增強服務(wù)意識,出現(xiàn)問題后,不要總是把問題都推到用戶身上,應(yīng)該多想想銀行本身的問題,應(yīng)該多做一些事情服務(wù)好用戶。例如對于USBKey

18、騙簽事件,銀行應(yīng)該在用戶進行每一筆網(wǎng)上交易中給予適當?shù)奶崾荆谛枰迦險SBKey時,彈出對話框提示用戶插入,在完成交易后,馬上彈出一個對話框,提示用戶已經(jīng)完成交易,請及時拔走USBKey,這樣做相信騙簽事件發(fā)生的機率會很低。目前廣大網(wǎng)民對電子支付和網(wǎng)上銀行市場的認知程度還很有限,銀行在對用戶進行網(wǎng)上銀行安全的宣傳、推廣和教育上應(yīng)承擔相應(yīng)責任。例如本人作為工商銀行U盾客戶已經(jīng)有6年時間,在撰寫本論文時查閱大量資料,發(fā)現(xiàn)原來工商銀行早在2

19、008年就已經(jīng)提供USBKEY手機動態(tài)檢驗碼的認證方式,但是本人及周圍對網(wǎng)上銀行安全性要求較高的用戶都不知情。首先應(yīng)該選擇一種安全的支付方式,寧愿多支付安全成本,保證資金安全,也不選擇安全性不好的支付方式。同時應(yīng)該增強網(wǎng)上支付安全意識,培養(yǎng)良好的網(wǎng)上支付習(xí)慣。參考文獻【l】支付寶安全中心https:I/securitycenteralipaycom/sc/ind髓h衄【2】工商銀行安全提示https:llmybankicbccolnen

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論