论文部分内容阅读
【摘要】通过对国有五大商业银行和招商银行的网上银行身份认证方案进行深入学习,指出现有网上银行身份认证设备存在的问题,并提出现在和未来安全的网上银行身份认证方案及防范措施。
【关键词】网上银行;身份认证;防范措施
我国现阶段的网上银行指银行通过信息网络提供的金融服务。网上银行支付在中国从1998年第一笔300元的订单,到2010年的10858亿元的网上支付交易额,飞速发展,正在广泛地渗透到人们生活的方方面面。尽管各家银行不断对其网上银行进行升级,但网上银行盗诈事件仍时有发生。盗诈背后,笔者认为银行应负主要责任,因为网上银行的身份认证和银行的服务意识存在问题,其次责任是用户的使用习惯。
一、网上银行身份认证设备存在的问题
1.静态密码技术。银行登录方式分两种,一种是采用“卡号+密码”的方式登录,此类技术代表为网上个人银行大众版,卡号、密码的保管非常重要,如果卡号和密码不慎被他人取得,他人即可通过网上银行大众版通过转账、网上支付卡转账等方式窃取客户账户资金。另一种是采用“用户名+登录密码”的方式登录,此种方式较为安全,在安全设计上有考虑到用户的需要,既满足了用户查询相关信息的需要,又保证了用户资料的安全,同时把查询和支付、转账等业务分开,增加安全系数。
2.动态口令卡、动态口令牌、手机动态口令。电子口令卡是指以矩阵形式印有若干字符串的卡片,每个字符串对应一个唯一的坐标。使用电子银行口令卡会存在卡片丢失或被窥视、拍照、复印等非技术风险;动态口令牌是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。2011年1月以来,国内多省市发生以“E令卡网上银行升级”为名,通过手机短信和制作克隆网站实施诈骗的案件。手机动态口令是利用手机作为随机密码生成或者接受终端,用户在登录应用系统时候,输入手机上的生成或者接收到的密码不停变化的随机密码,但是手机的缺点是容易被监听,被犯罪分子截取密码。
3.证书用户。目前网上银行应用最普遍的基于PKI体系的数字签名产品是USBKEY,它是一种USB接口的硬件设备,内置国密安全芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。第一代USBKEY产品解决了用户私有信息的传输安全问题,有效预防了基于钓鱼网站的诈骗事件的发生。但是在交换操作方面还存在隐患,当用户长时间插入USBKEY时,黑客可以通过木马截获PIN码,远程控制,冒用客户的USB Key进行身份认证,发生骗签事件。
二、网上银行身份认证方案及防范措施
1.认证方案。在现在的三种认证方案中,可以说没有哪一种是绝对的安全。在网银发展的初期,以市场推广为主要诉求,以方便性和高性价比来满足市场初期需要,对系统需求和身份认证机制的安全性放在第二位来考虑,因此首先出现的是基于静态密码的大众版网上银行。然而随着利用钓鱼网站进行诈骗事件的逐渐增多,国内众多商业银行的身份认证产品开始转向推广更加安全的USBKEY电子签名设备。但是随着骗签事件的增多,网上银行何去何从?借鉴国内最好的网上第三方支付“支付宝”的身份认证解决方案,本人认为在现阶段,网上银行应该使用USBKEY+手机短信检验码的认证方式,每一笔网上交易需要登录密码+支付密码+U盾+U盾密码+手机短信检验码完成,非常安全。在未来的网上银行身份认证发展中,可能会用到指纹液晶KEY方案,用指纹液晶KEY登陆网银是在KEY上进行指纹认证以代替从电脑键盘输入PIN码,并在KEY上显示交易信息,从物理上彻底杜绝黑客攻击的途径,从而有效防止网站钓鱼、远程挟持、信息篡改、骗签等安全隐患。
2.防范措施。银行应该增强服务意识,出现问题后,不要总是把问题都推到用户身上,应该多想想银行本身的问题,应该多做一些事情服务好用户。例如对于USB Key骗签事件,银行应该在用户进行每一笔网上交易中给予适当的提示,在需要插入USB Key时,弹出对话框提示用户插入,在完成交易后,马上弹出一个对话框,提示用户已经完成交易,请及时拔走USB Key,这样做相信骗签事件发生的机率会很低。目前广大网民对电子支付和网上银行市场的认知程度还很有限,银行在对用户进行网上银行安全的宣传、推广和教育上应承担相应责任。例如本人作为工商银行U盾客户已经有6年时间,在撰写本论文时查阅大量资料,发现原来工商银行早在2008年就已经提供USBKEY+手机动态检验码的认证方式,但是本人及周围对网上银行安全性要求较高的用户都不知情。首先应该选择一种安全的支付方式,宁愿多支付安全成本,保证资金安全,也不选择安全性不好的支付方式,同时应该增强网上支付安全意识,培养良好的网上支付习惯。
参考文献
[1]支付宝安全中心.https://securitycenter.alipay.com/sc/index.htm
[2]工商银行安全提示.https://mybank.icbc.com.cn/icbc/perbank/index.jsp
【关键词】网上银行;身份认证;防范措施
我国现阶段的网上银行指银行通过信息网络提供的金融服务。网上银行支付在中国从1998年第一笔300元的订单,到2010年的10858亿元的网上支付交易额,飞速发展,正在广泛地渗透到人们生活的方方面面。尽管各家银行不断对其网上银行进行升级,但网上银行盗诈事件仍时有发生。盗诈背后,笔者认为银行应负主要责任,因为网上银行的身份认证和银行的服务意识存在问题,其次责任是用户的使用习惯。
一、网上银行身份认证设备存在的问题
1.静态密码技术。银行登录方式分两种,一种是采用“卡号+密码”的方式登录,此类技术代表为网上个人银行大众版,卡号、密码的保管非常重要,如果卡号和密码不慎被他人取得,他人即可通过网上银行大众版通过转账、网上支付卡转账等方式窃取客户账户资金。另一种是采用“用户名+登录密码”的方式登录,此种方式较为安全,在安全设计上有考虑到用户的需要,既满足了用户查询相关信息的需要,又保证了用户资料的安全,同时把查询和支付、转账等业务分开,增加安全系数。
2.动态口令卡、动态口令牌、手机动态口令。电子口令卡是指以矩阵形式印有若干字符串的卡片,每个字符串对应一个唯一的坐标。使用电子银行口令卡会存在卡片丢失或被窥视、拍照、复印等非技术风险;动态口令牌是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。2011年1月以来,国内多省市发生以“E令卡网上银行升级”为名,通过手机短信和制作克隆网站实施诈骗的案件。手机动态口令是利用手机作为随机密码生成或者接受终端,用户在登录应用系统时候,输入手机上的生成或者接收到的密码不停变化的随机密码,但是手机的缺点是容易被监听,被犯罪分子截取密码。
3.证书用户。目前网上银行应用最普遍的基于PKI体系的数字签名产品是USBKEY,它是一种USB接口的硬件设备,内置国密安全芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。第一代USBKEY产品解决了用户私有信息的传输安全问题,有效预防了基于钓鱼网站的诈骗事件的发生。但是在交换操作方面还存在隐患,当用户长时间插入USBKEY时,黑客可以通过木马截获PIN码,远程控制,冒用客户的USB Key进行身份认证,发生骗签事件。
二、网上银行身份认证方案及防范措施
1.认证方案。在现在的三种认证方案中,可以说没有哪一种是绝对的安全。在网银发展的初期,以市场推广为主要诉求,以方便性和高性价比来满足市场初期需要,对系统需求和身份认证机制的安全性放在第二位来考虑,因此首先出现的是基于静态密码的大众版网上银行。然而随着利用钓鱼网站进行诈骗事件的逐渐增多,国内众多商业银行的身份认证产品开始转向推广更加安全的USBKEY电子签名设备。但是随着骗签事件的增多,网上银行何去何从?借鉴国内最好的网上第三方支付“支付宝”的身份认证解决方案,本人认为在现阶段,网上银行应该使用USBKEY+手机短信检验码的认证方式,每一笔网上交易需要登录密码+支付密码+U盾+U盾密码+手机短信检验码完成,非常安全。在未来的网上银行身份认证发展中,可能会用到指纹液晶KEY方案,用指纹液晶KEY登陆网银是在KEY上进行指纹认证以代替从电脑键盘输入PIN码,并在KEY上显示交易信息,从物理上彻底杜绝黑客攻击的途径,从而有效防止网站钓鱼、远程挟持、信息篡改、骗签等安全隐患。
2.防范措施。银行应该增强服务意识,出现问题后,不要总是把问题都推到用户身上,应该多想想银行本身的问题,应该多做一些事情服务好用户。例如对于USB Key骗签事件,银行应该在用户进行每一笔网上交易中给予适当的提示,在需要插入USB Key时,弹出对话框提示用户插入,在完成交易后,马上弹出一个对话框,提示用户已经完成交易,请及时拔走USB Key,这样做相信骗签事件发生的机率会很低。目前广大网民对电子支付和网上银行市场的认知程度还很有限,银行在对用户进行网上银行安全的宣传、推广和教育上应承担相应责任。例如本人作为工商银行U盾客户已经有6年时间,在撰写本论文时查阅大量资料,发现原来工商银行早在2008年就已经提供USBKEY+手机动态检验码的认证方式,但是本人及周围对网上银行安全性要求较高的用户都不知情。首先应该选择一种安全的支付方式,宁愿多支付安全成本,保证资金安全,也不选择安全性不好的支付方式,同时应该增强网上支付安全意识,培养良好的网上支付习惯。
参考文献
[1]支付宝安全中心.https://securitycenter.alipay.com/sc/index.htm
[2]工商银行安全提示.https://mybank.icbc.com.cn/icbc/perbank/index.jsp