不支持Flash

魔道较量 网上银行安全手段面面观

http://www.sina.com.cn 2007年02月02日 11:41 IT168.com

    【IT168 软件评论】网上银行在中国虽然还是一个比较新的概念,但已成为电子商务的最重要一环。去年以来,大量关于网上银行被盗的报道屡见报端,不法分子通过窃取用户的帐号和密码大肆盗窃资金或冒名消费。所以,如何保证储户的资金安全,一直是各家银行最关心、也最头疼的问题。随着木马、黑客、钓鱼网站等网络风险的越发泛滥,网银安全也变得越来越引人注目。

    首先我们要弄清一个问题,什么样的网上银行才算安全呢?也许你会说,最安全当然是资金绝对不会被盗。但事实上,电脑是不懂“盗”与“合法”的区别的,它只会按预定规则执行,只要有人发出符合规则的指令,它就会按程序执行。所以,如果你想真正实现绝对不被盗,除非你自己也无权操作。最安全的网上银行,应当是指外人无法骗过电脑,不能让银行系统把别人误认成你,包括身边人和银行的网络管理员在内。(当然了,如果管理员的权力大到能够直接修改数据库,那恐怕上帝的帐户也无安全可言了。)

    那么,我们当前正在使用的安全技术究竟能否保证用户的合法权限不被人冒用呢,且听我一一道来。

一、口令篇

    口令的使用由来已久,但木马的泛滥却让我们难以放心。据了解,从有木马的那天起,键盘记录便一直是必备功能。我们在输入帐号密码的同时,网络那头的“牧马人”也在悠闲地看着屏幕上的数字一个个弹出。后来出现的“网银大盗”更是具有了智能记录的本领,将黑客们从繁重的“盯梢”工作中解放了出来。

    为了解决键盘被记录的问题,网上银行纷纷推出了密码输入控件。这些控件使用了很多底层的驱动技术,可以在键盘按下的第一时间将键值捕获,并伪造一个虚假键值传给系统,从而使键盘记录软件失效。这听上去不错,但也并非无懈可击,如果黑客修改“肉鸡”的域名解析,将用户引到一个伪造页面上去,那就可以轻易绕过控件的限制了。更何况,并非只有银行才拥有这种驱动技术,只要黑客愿意,他完全有可能将木马的优先级提到比银行控件还要高。

    虽然口令的脆弱性已引起了很多银行的注意,但目前仍有一些服务是采用这种安全手段的,尤以

信用卡领域为甚。虽然各银行都说这是与国际接轨,但在真正建立起与国际接轨的ChargeBack规则之前,这种风险还是少冒的好。

二、数字证书篇

    有些银行采用数字证书作为用户的身份识别方式,如招商银行的“专业版”等。这是一种比较先进的非对称加密技术,客户端用私匙对指令进行加密,服务端则通过公匙对收到的信息进行解密,如果私匙不正确,服务端就只能看到一堆乱码。

魔道较量网上银行安全手段面面观

数字证书

    不过,只要是在内存中运行的东西,都不能保证绝对安全。如果你不幸被黑客盯上,他完全有可能通过Dump的方式将你内存全部拉回去进行分析,虽然解密私匙是件相当耗时的事情,但如果你帐户的资产足够多,这还是值得的。所以这种证书只推荐小额账户使用,企业用户还是建议使用其他更安全的方式。

 [1] [2] [下一页]

本文导航:
·口令篇和数字证书篇
·动态密码篇和USB Key篇

发表评论
爱问(iAsk.com)
不支持Flash
 
不支持Flash
不支持Flash