最近老是听说网银不安全,被人转走了很多钱之类的。前段时间看了一篇文章,讲了网银的集中认证方式,觉得说得挺好的,不过没有原文,我就自己总结一下。
1。加密解密与安全通信
网银的通信都是通过SSL加密的,也就是ie右下角会出一个锁的标记。现在的浏览器一般都是128位加密的,这种情况下,通过网络监听也没有办法获得你传输的信息的,这个就解决了通信不安全的问题。也就是说,一般网银的通信是没问题的。
问题在于,你如何登录网银,也就是服务器怎么证明网线的这一头的你,就是号称的这个帐号的所有者。最简单的认证方式就是用户名/密码。你在工行设定一个网银密码,就可接访问了。建行甚至还可以自助开通。这种方式最大的问题是,如果你的机器中了木马之类的程序,通过你的击键序列就可以知道你的用户名/密码。
方法二是证书。证书就是银行颁发给你的一个证明,你连接服务器的时候需要向服务器提供你的证书来证明自己。证书一般来说就是一个本地文件,为了保护这个文件,一般会给这个文件设定一个密码,通过这个密码来加密证书,而达到保护证书的目的。比如,招商网银专业版输入的密码,其实就是保护证书的密码。这种情况比上一种安全一些,因为即使有人获得了你的密码,也是没有意义的,它必须要有证书才行。当然,好的木马,也是可以设法把你的证书和证书密码一起通过网络发送出去。
方法三是动态密码。这个基本解决了证书的问题。一般的,银行会发一个小设备,这个设备定期会改变它显示的值,总之你需要物理的拿着这个设备才行,只有服务器知道这个设备在某个特定时刻显示的值是多少。这样用这个东西,第三者也没有办法知道显示的是什么值的,即使他偷去这个设备也没有用,因为密码是这个动态密码和一个静态密码拼出来的,光有动态密码也是不行的。必须同时拥有这两个才行。
2. 现在网银的情况
2.1 工商 ★★
工商现在还是用方法1,使用的是1-way SSL,不够安全,而且输入密码的时候也不提供鼠标输入,容易被木马窃取密码。
2.2 建行 ★★★
建行默认1-way SSL只可以查询,要想转帐,就需要去银行柜台签约,并获得证书,安全一些。不过好像他们的证书是没有密码保护的,问题倒也不是很严重。输入密码的时候可以用鼠标输入(软键盘)。
2.3 招商
2.3.1 招商文件证书 ★★★
跟建行差不多。证书理论上是可以用木马弄走的。
2.3.2 招商移动usb证书 ★★★★
这个不是很清楚是怎么运作的,不过感觉上,这个硬件设备的证书是无法倒出的,所以具有一定的物理安全性,木马应该也无法把这个证书通过网络传输出去。
2.4 未来
其实winnie在欧洲的证书就是移动证书,只有把卡在那个设备上刷一下,才会生成一个密码,也就是最后一种的动态密码。不过国内好像还没怎么见到……