網(wǎng)上銀行身份認(rèn)證設(shè)備問(wèn)題及防范措施

1、——一——一一——一——一——一一經(jīng)營(yíng)管理網(wǎng)上銀行身份認(rèn)證設(shè)備問(wèn)題及防范措施鄭松杰(廣東省高級(jí)技工學(xué)校，廣東惠州516100)【摘要】通過(guò)對(duì)國(guó)有五大商業(yè)銀行和招商銀行的網(wǎng)上銀行身份認(rèn)證方案進(jìn)行深入學(xué)習(xí)，指出現(xiàn)有網(wǎng)上銀行身份認(rèn)證設(shè)備存在的問(wèn)題，并提出現(xiàn)在和未來(lái)安全的網(wǎng)上銀行身／M／Aia方案及防范措施【關(guān)鍵詞】網(wǎng)上銀行；身$hikia；防范措施我國(guó)現(xiàn)階段的網(wǎng)上銀行指銀行通過(guò)信息網(wǎng)絡(luò)提供的金融服務(wù)。網(wǎng)上銀行支付在中國(guó)從1998年第一筆300

2、元的訂單，到2010年的10858億元的網(wǎng)上支付交易額，飛速發(fā)展，正在廣泛地滲透到人們生活的方方面面。盡管各家銀行不斷對(duì)其網(wǎng)上銀行進(jìn)行升級(jí)，但網(wǎng)上銀行盜詐事件仍時(shí)有發(fā)生。盜詐背后，筆者認(rèn)為銀行應(yīng)負(fù)主要責(zé)任，因?yàn)榫W(wǎng)上銀行的身份認(rèn)證和銀行的服務(wù)意識(shí)存在問(wèn)題，其次責(zé)任是用戶的使用習(xí)慣。一、網(wǎng)上銀行身份認(rèn)證設(shè)備存在的問(wèn)題1靜態(tài)密碼技術(shù)。銀行登錄方式分兩種，一種是采用“卡號(hào)密碼”的方式登錄，此類(lèi)技術(shù)代表為網(wǎng)上個(gè)人銀行大眾版，卡號(hào)、密碼的保管非常重

3、要，如果卡號(hào)和密碼不慎被他人取得。他人即可通過(guò)網(wǎng)上銀行大眾版通過(guò)轉(zhuǎn)賬、網(wǎng)上支付卡轉(zhuǎn)賬等方式竊取客戶賬戶資金。另一種是采用。用戶名登錄密碼”的方式登錄，此種方式較為安全，在安全設(shè)計(jì)上有考慮到用戶的需要既滿足了用戶查詢(xún)相關(guān)信息的需要，又保證了用戶資料的安全，同時(shí)把查詢(xún)和支付、轉(zhuǎn)賬等業(yè)務(wù)分開(kāi)，增加安全系數(shù)。2動(dòng)態(tài)口令卡、動(dòng)態(tài)口令牌、手機(jī)動(dòng)態(tài)口令。電子口令卡是指以矩陣形式印有若干字符串的卡片，每個(gè)字符串對(duì)應(yīng)一個(gè)唯一的坐標(biāo)。使用電子銀行口令卡會(huì)存

4、在卡片丟失或被窺視、拍照、復(fù)印等非技術(shù)風(fēng)險(xiǎn)；動(dòng)態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏、根據(jù)專(zhuān)門(mén)的算法每隔一定時(shí)間自動(dòng)更新動(dòng)態(tài)口令的專(zhuān)用硬件。2011年1月以來(lái)國(guó)內(nèi)多省市發(fā)生以“E令卡網(wǎng)上銀行升級(jí)”為名，通過(guò)手機(jī)短信和制作克隆網(wǎng)站實(shí)施詐騙的案件。手機(jī)動(dòng)態(tài)口令是利用手機(jī)作為隨機(jī)密碼生成或者接受終端，用戶在登錄應(yīng)用系統(tǒng)時(shí)候輸入手機(jī)上的生成或者接收到的密碼不停變化的隨機(jī)密碼，但是手機(jī)的缺點(diǎn)是容易被監(jiān)聽(tīng)，被犯罪分子截取密碼。3證書(shū)用戶。目前

5、網(wǎng)上銀行應(yīng)用最普遍的基于PKI體系的數(shù)字簽名產(chǎn)品是USBKEY，它是一種USB接口的硬件設(shè)備，內(nèi)置國(guó)密安全芯片，有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶的私鑰以及數(shù)字證書(shū)，利用USBKey內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。第一代USBKEY產(chǎn)品解決了用戶私有信息的傳輸安全問(wèn)題，有效預(yù)防了基于釣魚(yú)網(wǎng)站的詐騙事件的發(fā)生。但是在交換操作方面還存在隱患，當(dāng)用戶長(zhǎng)時(shí)間插入U(xiǎn)SBKEY時(shí)，黑客可以通過(guò)木馬截獲PIN碼，遠(yuǎn)程控制，冒用客戶的USBKey進(jìn)行身

6、份認(rèn)證，發(fā)生騙簽事件。二、網(wǎng)上銀行身份認(rèn)證方案及防范措施1認(rèn)證方案。在現(xiàn)在的三種認(rèn)證方案中，可以說(shuō)沒(méi)有哪一種是絕對(duì)的安全。在網(wǎng)銀發(fā)展的初期，以市場(chǎng)推廣為主要訴求，以方便性和高性?xún)r(jià)比來(lái)滿足市場(chǎng)初期需要對(duì)系統(tǒng)需求和身份認(rèn)證機(jī)制的安全性放在第二位來(lái)考慮，因此首先出現(xiàn)的是基于靜態(tài)密碼的大眾版網(wǎng)上銀行。然而隨著利用釣魚(yú)網(wǎng)站進(jìn)行詐騙事件的逐漸增多，國(guó)內(nèi)眾多商業(yè)銀行的身份認(rèn)證產(chǎn)品開(kāi)始轉(zhuǎn)向推廣更加安全的USBKEY電子簽名設(shè)備但是隨著騙簽事件的增多。網(wǎng)

7、上銀行何去何從借鑒國(guó)內(nèi)最好的網(wǎng)上第三方支付“支付寶”的身份認(rèn)證解決方案本人認(rèn)為在現(xiàn)階段，網(wǎng)上銀行應(yīng)該使用USBKEY手機(jī)短信檢驗(yàn)碼的認(rèn)證方式，每一筆網(wǎng)上交易需要登錄密碼支付密碼u盾u盾密碼手機(jī)短信檢驗(yàn)碼完成，非常安全在未來(lái)的網(wǎng)上銀行身份認(rèn)證發(fā)展中可能會(huì)用到指紋液晶KEY方案，用指紋液晶KEY登陸網(wǎng)銀是在KEY上進(jìn)行指紋認(rèn)證以代替從電腦鍵盤(pán)輸入PIN碼，并在KEY上顯示交易信息，從物理上徹底杜絕黑客攻擊的途徑。從而有效防止網(wǎng)站釣魚(yú)、遠(yuǎn)程挾

8、持、信息篡改、騙簽等安全隱患。2防范措施。銀行應(yīng)該增強(qiáng)服務(wù)意識(shí)，出現(xiàn)問(wèn)題后，不要總是把問(wèn)題都推到用戶身上，應(yīng)該多想想銀行本身的問(wèn)題，應(yīng)該多做一些事情服務(wù)好用戶。例如對(duì)于USBKey騙簽事件，銀行應(yīng)該在用戶進(jìn)行每一筆網(wǎng)上交易中給予適當(dāng)?shù)奶崾?，在需要插入U(xiǎn)SBKey時(shí)，彈出對(duì)話框提示用戶插入，在完成交易后，馬上彈出一個(gè)對(duì)話框，提示用戶已經(jīng)完成交易，請(qǐng)及時(shí)拔走USBKey，這樣做相信騙簽事件發(fā)生的機(jī)率會(huì)很低。目前廣大網(wǎng)民對(duì)電子支付和網(wǎng)上銀行市

9、場(chǎng)的認(rèn)知程度還很有限，銀行在對(duì)用戶進(jìn)行網(wǎng)上銀行安全的宣傳、推廣和教育上應(yīng)承擔(dān)相應(yīng)責(zé)任。例如本人作為工商銀行U盾客戶已經(jīng)有6年時(shí)間，在撰寫(xiě)本論文時(shí)查閱大量資料，發(fā)現(xiàn)原來(lái)工商銀行早在2008年就已經(jīng)提供USBKEY手機(jī)動(dòng)態(tài)檢驗(yàn)碼的認(rèn)證方式，但是本人及周?chē)鷮?duì)網(wǎng)上銀行安全性要求較高的用戶都不知情。首先應(yīng)該選擇一種安全的支付方式，寧愿多支付安全成本，保證資金安全，也不選擇安全性不好的支付方式。同時(shí)應(yīng)該增強(qiáng)網(wǎng)上支付安全意識(shí)，培養(yǎng)良好的網(wǎng)上支付習(xí)慣。

10、參考文獻(xiàn)【l】支付寶安全中心https：I／securitycenteralipaycom／sc／ind髓h衄【2】工商銀行安全提示https：llmybankicbccolnen／icbe／perbank／inde露jsp企業(yè)導(dǎo)報(bào)2011年第9期8l萬(wàn)方數(shù)據(jù)——一——一一——一——一——一一經(jīng)營(yíng)管理網(wǎng)上銀行身份認(rèn)證設(shè)備問(wèn)題及防范措施鄭松杰(廣東省高級(jí)技工學(xué)校，廣東惠州516100)【摘要】通過(guò)對(duì)國(guó)有五大商業(yè)銀行和招商銀行的網(wǎng)上銀行身份

11、認(rèn)證方案進(jìn)行深入學(xué)習(xí)，指出現(xiàn)有網(wǎng)上銀行身份認(rèn)證設(shè)備存在的問(wèn)題，并提出現(xiàn)在和未來(lái)安全的網(wǎng)上銀行身／M／Aia方案及防范措施【關(guān)鍵詞】網(wǎng)上銀行；身$hikia；防范措施我國(guó)現(xiàn)階段的網(wǎng)上銀行指銀行通過(guò)信息網(wǎng)絡(luò)提供的金融服務(wù)。網(wǎng)上銀行支付在中國(guó)從1998年第一筆300元的訂單，到2010年的10858億元的網(wǎng)上支付交易額，飛速發(fā)展，正在廣泛地滲透到人們生活的方方面面。盡管各家銀行不斷對(duì)其網(wǎng)上銀行進(jìn)行升級(jí)，但網(wǎng)上銀行盜詐事件仍時(shí)有發(fā)生。盜詐背后，

12、筆者認(rèn)為銀行應(yīng)負(fù)主要責(zé)任，因?yàn)榫W(wǎng)上銀行的身份認(rèn)證和銀行的服務(wù)意識(shí)存在問(wèn)題，其次責(zé)任是用戶的使用習(xí)慣。一、網(wǎng)上銀行身份認(rèn)證設(shè)備存在的問(wèn)題1靜態(tài)密碼技術(shù)。銀行登錄方式分兩種，一種是采用“卡號(hào)密碼”的方式登錄，此類(lèi)技術(shù)代表為網(wǎng)上個(gè)人銀行大眾版，卡號(hào)、密碼的保管非常重要，如果卡號(hào)和密碼不慎被他人取得。他人即可通過(guò)網(wǎng)上銀行大眾版通過(guò)轉(zhuǎn)賬、網(wǎng)上支付卡轉(zhuǎn)賬等方式竊取客戶賬戶資金。另一種是采用。用戶名登錄密碼”的方式登錄，此種方式較為安全，在安全設(shè)計(jì)上

13、有考慮到用戶的需要既滿足了用戶查詢(xún)相關(guān)信息的需要，又保證了用戶資料的安全，同時(shí)把查詢(xún)和支付、轉(zhuǎn)賬等業(yè)務(wù)分開(kāi)，增加安全系數(shù)。2動(dòng)態(tài)口令卡、動(dòng)態(tài)口令牌、手機(jī)動(dòng)態(tài)口令。電子口令卡是指以矩陣形式印有若干字符串的卡片，每個(gè)字符串對(duì)應(yīng)一個(gè)唯一的坐標(biāo)。使用電子銀行口令卡會(huì)存在卡片丟失或被窺視、拍照、復(fù)印等非技術(shù)風(fēng)險(xiǎn)；動(dòng)態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏、根據(jù)專(zhuān)門(mén)的算法每隔一定時(shí)間自動(dòng)更新動(dòng)態(tài)口令的專(zhuān)用硬件。2011年1月以來(lái)國(guó)內(nèi)多省市發(fā)生以

14、“E令卡網(wǎng)上銀行升級(jí)”為名，通過(guò)手機(jī)短信和制作克隆網(wǎng)站實(shí)施詐騙的案件。手機(jī)動(dòng)態(tài)口令是利用手機(jī)作為隨機(jī)密碼生成或者接受終端，用戶在登錄應(yīng)用系統(tǒng)時(shí)候輸入手機(jī)上的生成或者接收到的密碼不停變化的隨機(jī)密碼，但是手機(jī)的缺點(diǎn)是容易被監(jiān)聽(tīng)，被犯罪分子截取密碼。3證書(shū)用戶。目前網(wǎng)上銀行應(yīng)用最普遍的基于PKI體系的數(shù)字簽名產(chǎn)品是USBKEY，它是一種USB接口的硬件設(shè)備，內(nèi)置國(guó)密安全芯片，有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶的私鑰以及數(shù)字證書(shū)，利用USBKey內(nèi)

15、置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。第一代USBKEY產(chǎn)品解決了用戶私有信息的傳輸安全問(wèn)題，有效預(yù)防了基于釣魚(yú)網(wǎng)站的詐騙事件的發(fā)生。但是在交換操作方面還存在隱患，當(dāng)用戶長(zhǎng)時(shí)間插入U(xiǎn)SBKEY時(shí)，黑客可以通過(guò)木馬截獲PIN碼，遠(yuǎn)程控制，冒用客戶的USBKey進(jìn)行身份認(rèn)證，發(fā)生騙簽事件。二、網(wǎng)上銀行身份認(rèn)證方案及防范措施1認(rèn)證方案。在現(xiàn)在的三種認(rèn)證方案中，可以說(shuō)沒(méi)有哪一種是絕對(duì)的安全。在網(wǎng)銀發(fā)展的初期，以市場(chǎng)推廣為主要訴求，以方便性和高性?xún)r(jià)比

16、來(lái)滿足市場(chǎng)初期需要對(duì)系統(tǒng)需求和身份認(rèn)證機(jī)制的安全性放在第二位來(lái)考慮，因此首先出現(xiàn)的是基于靜態(tài)密碼的大眾版網(wǎng)上銀行。然而隨著利用釣魚(yú)網(wǎng)站進(jìn)行詐騙事件的逐漸增多，國(guó)內(nèi)眾多商業(yè)銀行的身份認(rèn)證產(chǎn)品開(kāi)始轉(zhuǎn)向推廣更加安全的USBKEY電子簽名設(shè)備但是隨著騙簽事件的增多。網(wǎng)上銀行何去何從借鑒國(guó)內(nèi)最好的網(wǎng)上第三方支付“支付寶”的身份認(rèn)證解決方案本人認(rèn)為在現(xiàn)階段，網(wǎng)上銀行應(yīng)該使用USBKEY手機(jī)短信檢驗(yàn)碼的認(rèn)證方式，每一筆網(wǎng)上交易需要登錄密碼支付密碼u盾

17、u盾密碼手機(jī)短信檢驗(yàn)碼完成，非常安全在未來(lái)的網(wǎng)上銀行身份認(rèn)證發(fā)展中可能會(huì)用到指紋液晶KEY方案，用指紋液晶KEY登陸網(wǎng)銀是在KEY上進(jìn)行指紋認(rèn)證以代替從電腦鍵盤(pán)輸入PIN碼，并在KEY上顯示交易信息，從物理上徹底杜絕黑客攻擊的途徑。從而有效防止網(wǎng)站釣魚(yú)、遠(yuǎn)程挾持、信息篡改、騙簽等安全隱患。2防范措施。銀行應(yīng)該增強(qiáng)服務(wù)意識(shí)，出現(xiàn)問(wèn)題后，不要總是把問(wèn)題都推到用戶身上，應(yīng)該多想想銀行本身的問(wèn)題，應(yīng)該多做一些事情服務(wù)好用戶。例如對(duì)于USBKey

18、騙簽事件，銀行應(yīng)該在用戶進(jìn)行每一筆網(wǎng)上交易中給予適當(dāng)?shù)奶崾?，在需要插入U(xiǎn)SBKey時(shí)，彈出對(duì)話框提示用戶插入，在完成交易后，馬上彈出一個(gè)對(duì)話框，提示用戶已經(jīng)完成交易，請(qǐng)及時(shí)拔走USBKey，這樣做相信騙簽事件發(fā)生的機(jī)率會(huì)很低。目前廣大網(wǎng)民對(duì)電子支付和網(wǎng)上銀行市場(chǎng)的認(rèn)知程度還很有限，銀行在對(duì)用戶進(jìn)行網(wǎng)上銀行安全的宣傳、推廣和教育上應(yīng)承擔(dān)相應(yīng)責(zé)任。例如本人作為工商銀行U盾客戶已經(jīng)有6年時(shí)間，在撰寫(xiě)本論文時(shí)查閱大量資料，發(fā)現(xiàn)原來(lái)工商銀行早在2

19、008年就已經(jīng)提供USBKEY手機(jī)動(dòng)態(tài)檢驗(yàn)碼的認(rèn)證方式，但是本人及周?chē)鷮?duì)網(wǎng)上銀行安全性要求較高的用戶都不知情。首先應(yīng)該選擇一種安全的支付方式，寧愿多支付安全成本，保證資金安全，也不選擇安全性不好的支付方式。同時(shí)應(yīng)該增強(qiáng)網(wǎng)上支付安全意識(shí)，培養(yǎng)良好的網(wǎng)上支付習(xí)慣。參考文獻(xiàn)【l】支付寶安全中心https：I／securitycenteralipaycom／sc／ind髓h衄【2】工商銀行安全提示https：llmybankicbccolnen