網(wǎng)上銀行身份認證設(shè)備問題及防范措施

1、——一——一一——一——一——一一經(jīng)營管理網(wǎng)上銀行身份認證設(shè)備問題及防范措施鄭松杰(廣東省高級技工學(xué)校，廣東惠州516100)【摘要】通過對國有五大商業(yè)銀行和招商銀行的網(wǎng)上銀行身份認證方案進行深入學(xué)習(xí)，指出現(xiàn)有網(wǎng)上銀行身份認證設(shè)備存在的問題，并提出現(xiàn)在和未來安全的網(wǎng)上銀行身／M／Aia方案及防范措施【關(guān)鍵詞】網(wǎng)上銀行；身$hikia；防范措施我國現(xiàn)階段的網(wǎng)上銀行指銀行通過信息網(wǎng)絡(luò)提供的金融服務(wù)。網(wǎng)上銀行支付在中國從1998年第一筆300

2、元的訂單，到2010年的10858億元的網(wǎng)上支付交易額，飛速發(fā)展，正在廣泛地滲透到人們生活的方方面面。盡管各家銀行不斷對其網(wǎng)上銀行進行升級，但網(wǎng)上銀行盜詐事件仍時有發(fā)生。盜詐背后，筆者認為銀行應(yīng)負主要責任，因為網(wǎng)上銀行的身份認證和銀行的服務(wù)意識存在問題，其次責任是用戶的使用習(xí)慣。一、網(wǎng)上銀行身份認證設(shè)備存在的問題1靜態(tài)密碼技術(shù)。銀行登錄方式分兩種，一種是采用“卡號密碼”的方式登錄，此類技術(shù)代表為網(wǎng)上個人銀行大眾版，卡號、密碼的保管非常重

3、要，如果卡號和密碼不慎被他人取得。他人即可通過網(wǎng)上銀行大眾版通過轉(zhuǎn)賬、網(wǎng)上支付卡轉(zhuǎn)賬等方式竊取客戶賬戶資金。另一種是采用。用戶名登錄密碼”的方式登錄，此種方式較為安全，在安全設(shè)計上有考慮到用戶的需要既滿足了用戶查詢相關(guān)信息的需要，又保證了用戶資料的安全，同時把查詢和支付、轉(zhuǎn)賬等業(yè)務(wù)分開，增加安全系數(shù)。2動態(tài)口令卡、動態(tài)口令牌、手機動態(tài)口令。電子口令卡是指以矩陣形式印有若干字符串的卡片，每個字符串對應(yīng)一個唯一的坐標。使用電子銀行口令卡會存

4、在卡片丟失或被窺視、拍照、復(fù)印等非技術(shù)風(fēng)險；動態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏、根據(jù)專門的算法每隔一定時間自動更新動態(tài)口令的專用硬件。2011年1月以來國內(nèi)多省市發(fā)生以“E令卡網(wǎng)上銀行升級”為名，通過手機短信和制作克隆網(wǎng)站實施詐騙的案件。手機動態(tài)口令是利用手機作為隨機密碼生成或者接受終端，用戶在登錄應(yīng)用系統(tǒng)時候輸入手機上的生成或者接收到的密碼不停變化的隨機密碼，但是手機的缺點是容易被監(jiān)聽，被犯罪分子截取密碼。3證書用戶。目前

5、網(wǎng)上銀行應(yīng)用最普遍的基于PKI體系的數(shù)字簽名產(chǎn)品是USBKEY，它是一種USB接口的硬件設(shè)備，內(nèi)置國密安全芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數(shù)字證書，利用USBKey內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證。第一代USBKEY產(chǎn)品解決了用戶私有信息的傳輸安全問題，有效預(yù)防了基于釣魚網(wǎng)站的詐騙事件的發(fā)生。但是在交換操作方面還存在隱患，當用戶長時間插入USBKEY時，黑客可以通過木馬截獲PIN碼，遠程控制，冒用客戶的USBKey進行身

6、份認證，發(fā)生騙簽事件。二、網(wǎng)上銀行身份認證方案及防范措施1認證方案。在現(xiàn)在的三種認證方案中，可以說沒有哪一種是絕對的安全。在網(wǎng)銀發(fā)展的初期，以市場推廣為主要訴求，以方便性和高性價比來滿足市場初期需要對系統(tǒng)需求和身份認證機制的安全性放在第二位來考慮，因此首先出現(xiàn)的是基于靜態(tài)密碼的大眾版網(wǎng)上銀行。然而隨著利用釣魚網(wǎng)站進行詐騙事件的逐漸增多，國內(nèi)眾多商業(yè)銀行的身份認證產(chǎn)品開始轉(zhuǎn)向推廣更加安全的USBKEY電子簽名設(shè)備但是隨著騙簽事件的增多。網(wǎng)

7、上銀行何去何從借鑒國內(nèi)最好的網(wǎng)上第三方支付“支付寶”的身份認證解決方案本人認為在現(xiàn)階段，網(wǎng)上銀行應(yīng)該使用USBKEY手機短信檢驗碼的認證方式，每一筆網(wǎng)上交易需要登錄密碼支付密碼u盾u盾密碼手機短信檢驗碼完成，非常安全在未來的網(wǎng)上銀行身份認證發(fā)展中可能會用到指紋液晶KEY方案，用指紋液晶KEY登陸網(wǎng)銀是在KEY上進行指紋認證以代替從電腦鍵盤輸入PIN碼，并在KEY上顯示交易信息，從物理上徹底杜絕黑客攻擊的途徑。從而有效防止網(wǎng)站釣魚、遠程挾

8、持、信息篡改、騙簽等安全隱患。2防范措施。銀行應(yīng)該增強服務(wù)意識，出現(xiàn)問題后，不要總是把問題都推到用戶身上，應(yīng)該多想想銀行本身的問題，應(yīng)該多做一些事情服務(wù)好用戶。例如對于USBKey騙簽事件，銀行應(yīng)該在用戶進行每一筆網(wǎng)上交易中給予適當?shù)奶崾?，在需要插入USBKey時，彈出對話框提示用戶插入，在完成交易后，馬上彈出一個對話框，提示用戶已經(jīng)完成交易，請及時拔走USBKey，這樣做相信騙簽事件發(fā)生的機率會很低。目前廣大網(wǎng)民對電子支付和網(wǎng)上銀行市

9、場的認知程度還很有限，銀行在對用戶進行網(wǎng)上銀行安全的宣傳、推廣和教育上應(yīng)承擔相應(yīng)責任。例如本人作為工商銀行U盾客戶已經(jīng)有6年時間，在撰寫本論文時查閱大量資料，發(fā)現(xiàn)原來工商銀行早在2008年就已經(jīng)提供USBKEY手機動態(tài)檢驗碼的認證方式，但是本人及周圍對網(wǎng)上銀行安全性要求較高的用戶都不知情。首先應(yīng)該選擇一種安全的支付方式，寧愿多支付安全成本，保證資金安全，也不選擇安全性不好的支付方式。同時應(yīng)該增強網(wǎng)上支付安全意識，培養(yǎng)良好的網(wǎng)上支付習(xí)慣。

10、參考文獻【l】支付寶安全中心https：I／securitycenteralipaycom／sc／ind髓h衄【2】工商銀行安全提示https：llmybankicbccolnen／icbe／perbank／inde露jsp企業(yè)導(dǎo)報2011年第9期8l萬方數(shù)據(jù)——一——一一——一——一——一一經(jīng)營管理網(wǎng)上銀行身份認證設(shè)備問題及防范措施鄭松杰(廣東省高級技工學(xué)校，廣東惠州516100)【摘要】通過對國有五大商業(yè)銀行和招商銀行的網(wǎng)上銀行身份

11、認證方案進行深入學(xué)習(xí)，指出現(xiàn)有網(wǎng)上銀行身份認證設(shè)備存在的問題，并提出現(xiàn)在和未來安全的網(wǎng)上銀行身／M／Aia方案及防范措施【關(guān)鍵詞】網(wǎng)上銀行；身$hikia；防范措施我國現(xiàn)階段的網(wǎng)上銀行指銀行通過信息網(wǎng)絡(luò)提供的金融服務(wù)。網(wǎng)上銀行支付在中國從1998年第一筆300元的訂單，到2010年的10858億元的網(wǎng)上支付交易額，飛速發(fā)展，正在廣泛地滲透到人們生活的方方面面。盡管各家銀行不斷對其網(wǎng)上銀行進行升級，但網(wǎng)上銀行盜詐事件仍時有發(fā)生。盜詐背后，

12、筆者認為銀行應(yīng)負主要責任，因為網(wǎng)上銀行的身份認證和銀行的服務(wù)意識存在問題，其次責任是用戶的使用習(xí)慣。一、網(wǎng)上銀行身份認證設(shè)備存在的問題1靜態(tài)密碼技術(shù)。銀行登錄方式分兩種，一種是采用“卡號密碼”的方式登錄，此類技術(shù)代表為網(wǎng)上個人銀行大眾版，卡號、密碼的保管非常重要，如果卡號和密碼不慎被他人取得。他人即可通過網(wǎng)上銀行大眾版通過轉(zhuǎn)賬、網(wǎng)上支付卡轉(zhuǎn)賬等方式竊取客戶賬戶資金。另一種是采用。用戶名登錄密碼”的方式登錄，此種方式較為安全，在安全設(shè)計上

13、有考慮到用戶的需要既滿足了用戶查詢相關(guān)信息的需要，又保證了用戶資料的安全，同時把查詢和支付、轉(zhuǎn)賬等業(yè)務(wù)分開，增加安全系數(shù)。2動態(tài)口令卡、動態(tài)口令牌、手機動態(tài)口令。電子口令卡是指以矩陣形式印有若干字符串的卡片，每個字符串對應(yīng)一個唯一的坐標。使用電子銀行口令卡會存在卡片丟失或被窺視、拍照、復(fù)印等非技術(shù)風(fēng)險；動態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏、根據(jù)專門的算法每隔一定時間自動更新動態(tài)口令的專用硬件。2011年1月以來國內(nèi)多省市發(fā)生以

14、“E令卡網(wǎng)上銀行升級”為名，通過手機短信和制作克隆網(wǎng)站實施詐騙的案件。手機動態(tài)口令是利用手機作為隨機密碼生成或者接受終端，用戶在登錄應(yīng)用系統(tǒng)時候輸入手機上的生成或者接收到的密碼不停變化的隨機密碼，但是手機的缺點是容易被監(jiān)聽，被犯罪分子截取密碼。3證書用戶。目前網(wǎng)上銀行應(yīng)用最普遍的基于PKI體系的數(shù)字簽名產(chǎn)品是USBKEY，它是一種USB接口的硬件設(shè)備，內(nèi)置國密安全芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數(shù)字證書，利用USBKey內(nèi)

15、置的公鑰算法實現(xiàn)對用戶身份的認證。第一代USBKEY產(chǎn)品解決了用戶私有信息的傳輸安全問題，有效預(yù)防了基于釣魚網(wǎng)站的詐騙事件的發(fā)生。但是在交換操作方面還存在隱患，當用戶長時間插入USBKEY時，黑客可以通過木馬截獲PIN碼，遠程控制，冒用客戶的USBKey進行身份認證，發(fā)生騙簽事件。二、網(wǎng)上銀行身份認證方案及防范措施1認證方案。在現(xiàn)在的三種認證方案中，可以說沒有哪一種是絕對的安全。在網(wǎng)銀發(fā)展的初期，以市場推廣為主要訴求，以方便性和高性價比

16、來滿足市場初期需要對系統(tǒng)需求和身份認證機制的安全性放在第二位來考慮，因此首先出現(xiàn)的是基于靜態(tài)密碼的大眾版網(wǎng)上銀行。然而隨著利用釣魚網(wǎng)站進行詐騙事件的逐漸增多，國內(nèi)眾多商業(yè)銀行的身份認證產(chǎn)品開始轉(zhuǎn)向推廣更加安全的USBKEY電子簽名設(shè)備但是隨著騙簽事件的增多。網(wǎng)上銀行何去何從借鑒國內(nèi)最好的網(wǎng)上第三方支付“支付寶”的身份認證解決方案本人認為在現(xiàn)階段，網(wǎng)上銀行應(yīng)該使用USBKEY手機短信檢驗碼的認證方式，每一筆網(wǎng)上交易需要登錄密碼支付密碼u盾

17、u盾密碼手機短信檢驗碼完成，非常安全在未來的網(wǎng)上銀行身份認證發(fā)展中可能會用到指紋液晶KEY方案，用指紋液晶KEY登陸網(wǎng)銀是在KEY上進行指紋認證以代替從電腦鍵盤輸入PIN碼，并在KEY上顯示交易信息，從物理上徹底杜絕黑客攻擊的途徑。從而有效防止網(wǎng)站釣魚、遠程挾持、信息篡改、騙簽等安全隱患。2防范措施。銀行應(yīng)該增強服務(wù)意識，出現(xiàn)問題后，不要總是把問題都推到用戶身上，應(yīng)該多想想銀行本身的問題，應(yīng)該多做一些事情服務(wù)好用戶。例如對于USBKey

18、騙簽事件，銀行應(yīng)該在用戶進行每一筆網(wǎng)上交易中給予適當?shù)奶崾荆谛枰迦險SBKey時，彈出對話框提示用戶插入，在完成交易后，馬上彈出一個對話框，提示用戶已經(jīng)完成交易，請及時拔走USBKey，這樣做相信騙簽事件發(fā)生的機率會很低。目前廣大網(wǎng)民對電子支付和網(wǎng)上銀行市場的認知程度還很有限，銀行在對用戶進行網(wǎng)上銀行安全的宣傳、推廣和教育上應(yīng)承擔相應(yīng)責任。例如本人作為工商銀行U盾客戶已經(jīng)有6年時間，在撰寫本論文時查閱大量資料，發(fā)現(xiàn)原來工商銀行早在2

19、008年就已經(jīng)提供USBKEY手機動態(tài)檢驗碼的認證方式，但是本人及周圍對網(wǎng)上銀行安全性要求較高的用戶都不知情。首先應(yīng)該選擇一種安全的支付方式，寧愿多支付安全成本，保證資金安全，也不選擇安全性不好的支付方式。同時應(yīng)該增強網(wǎng)上支付安全意識，培養(yǎng)良好的網(wǎng)上支付習(xí)慣。參考文獻【l】支付寶安全中心https：I／securitycenteralipaycom／sc／ind髓h衄【2】工商銀行安全提示https：llmybankicbccolnen