捍卫网银安全 细数网上银行安全手段


CNET中国.ZOL 3月9日报道 当我们还没有来得及感受网上银行带来的便利与快捷，不断出现的黑客和“网银大盗”就将网友们“一切尽在网上”的美好愿望敲的粉碎，尤其是近期频频出现的网银钱财被盗的事件，更是为网上银行用户们心头蒙上了一层阴影。不过各大银行为了提高网银的安全性也是费尽心思，下面让我们来看一看中国各大银行保护用户信息的“绝招”吧。

    各银行依据各自技术实力的不同，对于各自己的网银建设也不尽相同。有的直接以控件形式安装后，用户可以用IE浏览器登录后进行操作；也有需要用户下载专用网银客户端进行操作的。但他们对于WEB登陆的安全措施加密方式大致相同：Active X安全控件或者动态软键盘的方法。

Active X安全控件

    中国工商银行的网银安全曾经因为“使用工行网银系统资金被盗”一事倍受网友质疑，不过当时银行在问题解决曾经提到过：“财产被盗的用户大多都是大众版用户。”而很不幸，大众版又多采用的就是Active X安全控件。除工行外，招商银行、中国农业银行、交通银行的个人版登陆同样采取的是Active X安全控件，也就是说，大部分的银行向非证书认证用户提供的安全手段都是安装安全控件，而不同之处只是安装的方式各有特色。

    这种安全技术防止了键盘/消息钩子，而且使通过IE的COM接口获取密码的方法也无能为力，当控件安装完成后用户才能见到网上银行的登陆界面。不过这被公认为最不安全的一种登陆方式，而且由于一些数银行将安全技术通过Active X捆绑在了IE上，这给其它操作系统和非IE用户带来了一些不便。

数字证书和USB key

    较Active X安全控件而言，相对安全的就是采用数字证书和USB key认证的登陆方式。银行依用户的有效证件，如xxx号、身份证号码等为依据，生成一个数字证书文件，配合用户自定义的用户名和密码使用以提高安全性。因其成本低，使用方便，因此被众多银行所使用。

    USB Key证书就是一种USB接口形式的硬件设备，内置微型智能卡处理器，采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性和不可否认性。因成本问题和设置上的原因被个别银行采用，并且与数字证书共存仅作为可选项。不过交通一样不支持单独的数字证书安全方式，他们提供的是数字证书与USB key共同发挥作用的一种安全认证。

动态软键盘

    采用动态软键盘技术初看确实能使攻击者无法截获密码，但是截取密码不仅仅只有接截获键盘记录一种方法，黑客们还可以通过IE的COM获取密码。对于中国建设银行和中国银行，通过IE的COM接口获取的密码框里的内容就是密码，其他大部分采用软键盘技术的网站大都也是这样。中国农业银行曾经也使用过这种安全方式，不过现在已经升级为Active X安全控件。

    虽然银行为了保护网银绞尽脑汁，但是仍有财产被盗事件出现，也许，作为用户的我们也应该从自身检讨起？