编者按:最近银监办规定,2007年12月31日后,单笔转账超千元的网络银行交易需双重身份认证。这就意味着对于高风险网银交易,需要采用硬件USB数字证书、动态电子银行口令卡、双因素动态密码认证等,到底谁更安全、方便呢?
【IT168 报道】前不久,银监办向各银监局,各政策性银行、国有商业银行、股份制商业银行,邮储银行发布了[2007]134号通告:为加强用户身份验证管理。各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用,预先注册在银行的本人用户名及口令/密码;附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息(物理介质或电子设备等)。附加身份认证信息应不易被复制、修改和破解。
转账超千元需双重身份认证
什么样的网银交易才算高风险账户操作?通告对此做了进一步解释:各商业银行可根据业务发展需要和风险控制要求对本行网上银行高风险账户操作进行具体界定。高风险账户操作应至少包括:向非本人(不含与本行签订业务合作等法律协议和客户预先约定的指定账户,如:代收费、第三方支付、贷款还款帐户等)账户转移资金单笔超过1000元或日累计超过5000元。
银监办还向银行要求:对于身份认证强度相对较弱的网上银行账户操作,商业银行应充分评估风险,相应进一步采取控制措施(如:限制资金转移功能、限定资金转移额度等)进行有效防范。商业银行还应积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。
银监办的通告意味着:对于银行来说,面对高风险网银交易,要么部署硬件USB数字证书,要么部署双因素动态密码认证等几种双重身份认证系统。而对于老百姓来说,又存在到底哪种方式更方便、更安全、更便宜的问题。
网络银行必不可少?
有人说,既然网银交易越来越麻烦了,那就不用网银交易了嘛。然而,实际的生活却是,老百姓已经越来越离不开网银交易了。
在日常的工作、生活中,我们需要通过网络银行给别人打款,我们需要通过网络银行炒股投资。我们需要网络银行进行网络购物。正如中国建设银行(亚洲)高级副总裁&首席信息官梁建文先生讲了这样一个例子:
8月8日,3点15时,香港股票市场还没有停,香港的股市下午7点钟才停,而3点15时,刮起了8号风球,特大龙卷风给香港造成了巨大影响,这也可能会给股市造成冲击。而此时,人们的电话在不停在打,打回家去,打给小孩子.... 此时,要买卖股票怎么办,到交易中心的电话已经很难打通了。怎么办?上网,在网上进行股票买卖。网上交易是最方便、快捷的方式。
当然,网银交易的同时,带来的是各种网银盗窃的案例不时发生。于是,安全级别更高的双重身份认证系统成为了必然的选择。
USB硬件数字证书安全、方便乎?
要进行双重身份认证,采用数字证书就是一种比较好的解决办法,这也是当前各大银行普遍采用的措施。例如,工商银行、建设银行、招商银行、交通银行都采用USB硬件数字证书的方式来确保高风险转账交易的安全。
例如,招商银行的数字证书认证分成硬件数字证书和软件数字证书两种,前者要收取U盘的工本费100元,后者可以不收费,招行网银证书是不允许备份在直接备份在硬盘上,只能备份U盘、移动硬盘等设备上,这也是为了网银的安全性考虑,以防他人漏取证书。
对于软件数字证书,因为可能被U盘复制、拷贝走,所以存在安全问题。而对于硬件数字证书,它同特定的U盘绑定,除非硬件U盘被盗,数字证书是不会被盗的。
另外,工行的U盾跟招行的USB硬件数字证书差不多。办理一个U盾一般80元,有了U盾等于加了一把安全锁,即使客户的账号、密码等个人信息被窃,若没有U盾,也无法将客户资金转移。客户只要保证U盾、U盾密码、账号(别名)、登录密码和支付密码这些所有的安全措施不被同一个人窃取,资金损失的可能性几乎为零。可以这样说,U盾是目前网上银行客户端安全级别最高的一种安全工具,只是价格较高。
对于硬件数字证书来说,安全问题是不用担心的了。不过,它的方便性如何呢?
从工商银行、建设银行、招商银行、交通银行这几大银行的硬件数字证书看,它们有一个共同的特点就是,需要安装驱动程序,电脑才能够确认数字证书。这就意味着,当你到了别的地方进行网银交易时,你需要在别的电脑上安装USB数字证书的驱动程序,然而,又会有多少人把驱动程序随时带在身上呢?其他的电脑又允许你随便安装驱动程序么?此外,因为USB数字证书需要接入电脑的USB接口中,这在一定程度上影响了用户的使用方便性。
正是因为硬件数字证书在使用方便性上有所不足,不少银行开始采用另外的双重身份认证机制。
动态电子银行口令卡能解决方便性?
因为硬件数字证书需要添加任何额外的硬件或软件程序,在某种程度上改变了用户原来的使用习惯,因此,不少银行推出了动态电子银行口令卡。
动态电子银行口令卡不需要用户毋须添加任何额外的硬件或软件程序、不用刻意改变原来的使用习惯,就能达到安全和简单方便的两种要求。
例如建设银行推出的动态口令卡(口令卡要2块钱)。这种动态口令卡是一种大小、形状与银行卡一样的卡片,俗称刮刮卡。每张刮刮卡覆盖有30个不同的密码,客户每次在网上银行进行资金交易时,只需按顺序输入刮刮卡上的密码,每个密码只允许使用一次。
而工商银行推出的电子银行口令卡则更好,这种银行电子口令卡相当于一种动态的电子银行密码。口令卡上以矩阵的形式印有若干字符串,客户在使用电子银行(包括网上银行或电话银行)进行对外转账、B2C购物、缴费等支付交易时,电子银行系统就会随机给出一组口令卡坐标,客户根据坐标从卡片中找到口令组合并输入电子银行系统。只有当口令组合输入正确时,客户才能完成相关交易。这种口令组合是动态变化的,使用者每次使用时输入的密码都不一样,交易结束后即失效,从而杜绝不法分子通过窃取客户密码盗窃资金,保障电子银行安全。相比建行的动态口令卡,工行电子银行口令卡更具优势,首先口令卡目前免费(售价2元),而且使用次数是1000次,相比建造只能使用30次的次数更多。
由于口令卡是一个同电脑无关的物理卡片,直接切断了黑客种植木马盗用账号和密码后,依然无法直接盗用用户的存款。如果用户能保存好口令卡,理论上用户的存款是非常安全的。不过,百密仍有一疏,一些网友发现了这种电子银行卡出现了漏洞。口令卡上的一组组数字口虽然因为需要保密而被覆盖膜遮挡,但却可以在阳光下、在手电筒的照射下,透过覆盖膜而被轻易地辨识出来。如果银行工作人员有不良企图,电子银行口令卡“秘密”还是容易泄漏。然而,这也只是银行职业做出“做贼喊贼”、“监守自盗”的情况下发生。不过还需提醒用户,妥善保管好自己的电子银行口令卡,不要将电子银行口令卡借予他人,并防止他人复制口令卡或对口令卡拍照。
双因素动态密码认证平衡安全与方便性
很明显,动态电子银行口令卡在一定程度上方便了,但它的使用次数有限,而且,全部的密码都印在卡上,密码的保密性不高,这也是一个问题。
动态电子银行口令卡有一个明显的特征在于,每交易一次,轮次使用不同的密码,每次交易时用过的密码,在交易登录完成后就没用了,这就是动态认证。这也就意味着,黑客就算在网上找到这个密码,当他下次用时,也没有用了。
其实,我们有另外一种产品--双因素动态密码认证,更好地解决了安全与方便性的问题。例如,兴业银行采用了双因素动态密码认证,用户使用动态密码进行双因素认证的方式非常简单,登录进“外汇宝”业务后,用户输入静态密码和动态密码令牌中一分钟一变的动态密码,就可以安全地进行外汇交易。 这种方式的好处是,黑客即使取得消费者的密码和其他个人资料,只要用户手中的动态密码令牌没有丢失,资金安全就有保障。
在香港的中国建设银行(亚洲)也采用了RSA的双因素动态密码认证来进行高风险的银行交易。中国建设银行(亚洲)规定,当进入普通、银行时,不需要双因素认证,例如查账时,但要进行转账等,就需要双因素认证了。例如:中国建设银行(亚洲)高级副总裁&首席信息官梁建文先生介绍,在中国建设银行(亚洲),
1)没有登记的转帐,就是你要把一个钱,从你自己的户口转到另外第三者的户口,这个户口呢如果你没有登记的话,就要用双因素认证才可以把钱转过去,这是头一种的交易;
2)做海外的外汇,就是把钱用外汇的方案转到海外去,这个是第二种;
3)你要把你的信用卡户口登记在你的工作里面去。因为香港很普遍,交信用卡的那个月缴单的数。用信用卡付了一千块,你每个月付一千块,把你的信用卡一登记,这个交易就要用双重认证等等;
从安全性来讲,RSA的双因素动态密码认证的安全程度是非常高的。它一分钟变化一次密码,并跟电脑系统安全隔离,黑客无法通过网络获取密码,除非这个RSA令牌卡丢失,密码才有可能泄露。
可以说,从安全等级来看,双因素动态密码认证与硬件数字证书并没有太大的区别。可能,最主要的区别就在于方便性、成本方面的区别了。
上海动联信息技术有限公司中国首席营运官沈勇坚先生介绍到:对于银行来说,RSA双因素动态密码认证系统可能更方便,对系统的实施方便,银行要上这套系统很简单,也不用过多的改造原有的电子银行的系统。对于老百姓来说,例如对于老年人,因为这不需要动任何电脑知识,我不需要装控件或者驱动之类的东西,用户只需要按一下,密码就出来了。这跟硬件数字证书要安装驱动程序则大不相同。
由此可见,RSA双因素动态密码认证系统因为跟电脑无关,不安装驱动程序,不接USB接口等,所以在方便性上比硬件数字认证更好一些。
不过,从成本来看,双因素动态密码认证系统的硬件成本可能会比硬件数字证书高一些,这就要看银行、用户自己的具体情况了。
面对高风险网银交易,硬件USB数字证书、动态电子银行口令卡、双因素动态密码认证,你到底选择那种安全认证方式?这完全要看你自己的使用情况了。当然,这也跟银行提供的认证措施有关。
附:
四大国有银行网银安全性综合评估
http://safe.it168.com/p/2007-07-24/200707241152890_2.shtml
六大商业银行网银安全综合评估
http://safe.it168.com/p/2007-08-09/200708090950353.shtml
