|
||||
憑借辦理金融業務的便捷性,網上銀行已經被越來越多的銀行客戶采用。然而,網上銀行的安全性卻始終讓不少銀行客戶心有餘悸。調查顯示,目前『網銀的安全性能』超過了『選擇網銀主要根據原來的開戶行而定』,成為用戶選擇網銀考慮因素的第一位,有銀行甚至推出8項防范措施來保證網銀的安全。那麼,在銀行不斷提高網銀自身安全措施的同時,作為用戶,該如何打好網銀安全保衛戰?本期專題我們將為讀者介紹目前市場中較為全面的網銀安全保護工具和保護措施,並為讀者演示如何利用好這些工具。
風險防范銀行各出奇招
目前,國內各大銀行都已經采取多重手段來防范網銀風險,綜合來看,保護網銀安全的手段不下10種,各銀行采取的手段不盡相同,可以說各出奇招。多數銀行采用了雙重身份認證系統。例如,工商銀行、建設銀行、招商銀行、交通銀行都采用USB硬件數字證書的方式來確保高風險轉賬交易的安全,這也是當前各大銀行普遍采用的措施。而農行采用了動態口令卡,中行則在近期將其網銀全面昇級,並在國內首家全面采用了動態口令牌。
其中,招商銀行的數字證書認證分成硬件數字證書和軟件數字證書兩種,硬件網銀證書只能備份在U盤、移動硬盤等設備上,這也是為了網銀的安全性考慮,以防他人非法獲取證書。對於軟件數字證書,因為可能被U盤復制、拷貝走,存在安全問題,所以,用戶最好只將軟件數字證書存在自己家中專用的電腦上。而對於硬件數字證書,它同特定的U盤綁定,除非硬件U盤被盜,否則數字證書是不會被盜。
目前采用雙因素動態密碼保護的銀行有興業銀行、中國銀行等。不過,興業銀行的雙因素動態密碼認證,只為其外匯客戶提供,外匯客戶登錄進『外匯寶』業務後,輸入靜態密碼和動態密碼令牌(一分鍾一變),就可以安全地進行外匯交易。而中國銀行提供了3道防線保證網銀用戶的資金安全。第一道防線是由網銀用戶名(6-20位數字和英文字母)和密碼(8-20位數字和英文字母)組成的基礎性防護;第二道防線是動態口令牌隨機生成的動態口令(6位數字);第三道防線是用戶使用網上銀行進行他人轉賬、投資服務的開通,基金、國債業務的開戶,代繳費、用戶名/密碼找回等重要交易時,須再次輸入動態口令進行身份驗證。據了解,動態口令牌也是目前匯豐、花旗等外資銀行較多采用的網銀交易工具。
建設銀行除了通過USBKey、密碼軟件盤、個性用戶名等方式防范網銀風險外,其短信提醒服務可以說讓用戶隨時掌握網銀的動向。客戶只要登陸建行網銀,不管是否登陸成功,都會及時收到短信提醒。登陸進入之後,只要有資金變動,無論資金轉移是否成功,也都會及時收到短信提醒。
相比建行,浦發銀行將短信防范的作用放在前端,該行首創的手機動態密碼服務更方便。當客戶登錄該行網銀或通過網上支付系統進行金融交易時,系統隨機生成並以手機短信形式發送給客戶的一次性有效密碼,可以有效保障客戶賬戶和交易安全。
黑客竊取密碼方式花樣多
然而,盡管各家銀行已經做了很多網銀風險防范的工作,依然無法避免出現客戶網銀資金被盜的案件。近年來多家銀行出現網銀客戶資金被盜的事件。業內人士表示,出現資金被盜的原因是多方面的,不過絕大多數還是由於客戶安全防范意識淡薄,采用比較簡單的密碼保護措施,不慎被黑客竊取密碼,進而盜取資金。
業內專家為記者介紹了目前比較常見的黑客竊取密碼的方式,網銀用戶在以下這些方面應多加注意。如釣魚網站,所謂『釣魚』,即黑客首先建立一個酷似網銀官方網站的假網頁,用於誘騙用戶輸入賬號密碼等信息,或者包含用於種植木馬的惡意腳本。向客戶郵箱發送『釣魚』郵件。一旦用戶上當受騙,他們的隱私數據都會被發送到黑客那裡。另一種方式是鍵盤記錄,即通過木馬監視用戶正在操作的窗口,如果發現用戶正在訪問某網銀系統的登錄頁面,就開始記錄所有從鍵盤輸入的內容。另外還有嵌入瀏覽器執bb行、屏幕『錄像』、竊取數字證書文件、偽裝窗口等方式,讓網銀用戶防不勝防。
因此,專家建議,若想打好網銀安全保衛戰,就必須提高風險防范意識,充分了解並利用好銀行提供的網銀安全工具,做到知己知彼,百戰不殆。
11類網銀安全工具大盤點
-用戶名和密碼
不用多說,這是最基本的防范措施了,值得一提的是不要將密碼設成容易識破的有規律性數字。
-USB Key證書
USBKey證書是目前多數中資銀行采用的安全認證工具,是一種USB接口形式的硬件設備,可存放網銀數字證書。內置微型智能卡處理器,采用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名,確保網上交易的保密性、真實性、完整性和不可否認性。數字證書如果存放在瀏覽器(電腦硬盤)中,容易被復制、竊取,安全性差;而如果存放在USBKey中,便無法復制、導出,即使電腦中了木馬病毒,也不會被竊取,安全性非常高。
-動態口令牌
動態口令牌(E-token)是一種每隔一定時間自動更新動態口令的專用硬件。與目前同業多采用的USBKey不同,動態口令牌實現了與電腦的完全物理隔離,無需安裝驅動,也不需要記憶密碼,使用十分簡單。動態口令每60秒隨機更新一次,一次有效,不可重復使用,大大提昇了網上銀行的安全,是目前國際上通用的較為先進的安全機制。
-動態口令卡
動態口令卡是動態口令的載體。每張動態口令卡覆蓋有若乾個不同的口令。您在啟用動態口令卡後,進行網上銀行辦理轉賬匯款、繳費支付、網上支付等交易時,需按順序輸入動態口令卡上的密碼,每個密碼只可以使用一次。
-數字證書
數字證書就是一個包含個人身份信息的電子文件,證明互聯網上『您是誰』,就像您的『網絡身份證』。這個『網絡身份證』是由一個權威的第三方安全認證機構發放的。數字證書是網銀安全的根本保障,是被國內外普遍采用的一整套成熟的信息安全保護措施。軟件證書直接存在電腦硬盤中,移動證書就是將證書存在移動硬盤中,即USBKey證書。
-Active X安全控件
目前大部分的銀行向非證書認證用戶提供的安全手段都是安裝安全控件,而不同之處只是安裝的方式各有特色。這種安全技術防止了鍵盤/消息鉤子,而且使通過IE的COM接口獲取密碼的方法也無能為力,當控件安裝完成後用戶纔能見到網上銀行的登陸界面。不過這已被公認為很不安全的一種登陸方式,而且由於一些銀行將安全技術通過ActiveX捆綁在了IE上,這給其它操作系統和非IE用戶帶來了一些不便。不過利用ActiveX安全控件多一層保護也不失為一個辦法。
-動態軟鍵盤
動態軟鍵盤的好處在於:每次出現的按鍵鍵位都不一樣,增加了惡意軟件獲取真實密碼的難度。使用動態軟鍵盤輸入密碼時,是使用鼠標直接在電腦屏幕上點擊密碼,木馬程序無法監測到用戶的密碼輸入;而且軟鍵盤上的數字是動態顯示的,每次登錄時數字在軟鍵盤上的位置顯示是不同的,可以避免輸入時密碼被旁邊的人看到。
-短信提醒
目前多數銀行都向網銀客戶提供短信提醒服務。您可根據需要定制一系列提示信息,如網銀登錄提醒、網銀密碼連續輸錯提醒、轉賬匯款提醒等,以隨時了解網銀變動情況,使網上交易既輕松又安全。
-預留『歡迎信息』
您預留的『歡迎信息』是提高您對『釣魚網站』辨別能力的一種簡單有效的方法。您設置好『歡迎信息』後,在每次登錄時,該信息將顯示在歡迎頁面上,如該網站未能正確顯示您預留的歡迎信息,說明該網站不是您想登錄的銀行網站。
-資金限額管理
為防范風險,部分銀行對不同風險級別客戶限定的不同資金限額管理。如大眾版網銀客戶,當日轉賬資金限額300元或0元。有的是客戶自己設定每日交易資金最高限額,若需要更改這一限額,需要某些條件。這也增加了黑客盜取資金的難度,將風險控制在有限的范圍內。
-會話超時
如果您在登錄網銀後,在一定時間內未向網銀系統發送任務服務請求(包括提交交易指令、切換網銀頁面等),系統將自動退出網上銀行服務,以避免他人在您中途離開或忘記退出時非法操作您的賬戶。有的銀行會話超時設定為1分鍾,有的設定為半小時。
請您文明上網、理性發言並遵守相關規定,在註冊後發表評論。 | ||||