动态口令不能保证网上银行的安全
网上银行安全使用及防范技巧
网上银行安全使用及防范技巧针对近期网上银行不安全事件频繁发生的现象,中国金融认证中心推出了专业的数字证书,承诺如果由于其加密机制被破解,而使客户遭受损失,客户可向其索赔,金额最高达80万元,首度明确了网银纠纷的责任及赔偿。
其实,包括网上银行在内的网上支付逐渐进入普通百姓理财领域的时候,如何保证其安全就成了理财的首要问题。
一、网银安全可严防最近一段时期以来,网络欺诈事件呈跳跃式增长,木马病毒、假银行网站……成了网上银行安全的最大威胁,公众普遍存在着对网上银行安全性的忧虑。
对此,有关专家表示,目前我国发生的网上银行资金被盗案件基本上都是针对大众版用户,以“卡号+口令”方式登录网上银行面临着安全风险,在这种情况下,通过外部方式对于网银安全进行加密就显得非常必要。
此次推出数字证书的中国金融认证中心是目前内地金融行业唯一的经中国人民银行和国家信息安全管理机构批准成立的国家级权威的第三方安全认证机构,用户只要使用可以存放在USB key上的数字证书登录网上银行,就可以更好地保证安全。
除了第三方的安全认证机构之外,各网上银行目前也纷纷推出了外部的加密手段,建行新版网上银行推出了新增加了密码控件、安全控件、预留防伪信息验证、暂停网银服务安全手段,配合原有的双重密码保护、电子证书、动态口令卡等各种安全手段组合,可以最大限度地确保客户信息与网上交易资金的安全。
工商银行也为客户提供了U盾、电子银行口令卡、防病毒安全控件、余额变动提醒、预留信息验证等一系列安全措施。
二、网上支付选择多网上银行只是网上支付的一种形式,据一项调查显示,在网民不使用网上银行的原因中,61%%担心交易的安全性,其中42.7%%的人担心泄露个人信息。
这就导致贝宝、支付宝等第三方支付平台已经随着电子商务的发展开始逐渐在网上支付中占据了重要的地位。
建设银行与支付宝推出了支付宝龙卡,持卡人将支付宝账户与支付宝龙卡通过建行柜台绑定后,可直接通过支付宝龙卡活期账户,完成持卡人在支付宝的在线支付业务,以后的网上购物可以直接通过“支付宝龙卡”支付,无须再通过银行先转账到自己的支付宝账户。
个人电子银行资格认证考试复习题库
个人电子银行资格认证考试复习题库判断题1.手机交易码信息与交易内容(收款人、金额及收款账号)绑定,指定交易码只能用于验证绑定交易,可以有效防范木马病毒、网络钓鱼等诈骗行为。
(对)2.为加强客户开户风险提示,柜员为客户开通网银服务时应让客户阅知并作答相关网银风险提示。
(对)3.网银操作页面通过合理的色彩搭配帮助用户识别不同的服务功能。
(对)4.登录网银后,个人用户如发起对他人转账,投资服务开通等重要交易时需再次输入动态口令进行身份验证。
(对)5.网上银行个人服务支持信用卡主动还款。
(对)6.中银e信是指通过在线定制手机短信提醒服务,网银用户在进行网上转账、缴费、预约汇款等操作时能及时收到交易提醒短信。
(对)7.网上银行的用户名可以根据客户的喜好随意修改。
(错)8.“服务设定”的“交易限额设置”,需客户使用电子银行认证工具,进行身份验证。
(对)9.个人客户进行网上支付的过程中,需选择用于本次支付的银行卡。
(对)10.个人客户将某张银行卡设置为网上支付卡的过程中,无需进行电子银行安全认证工具认证。
(错)11.BOCNET系统不允许客户设置自己的单笔交易限额和当日累计交易限额。
(错)12.个人客户必须到柜台申请才能开通中国银行网上银行BOCNET个人服务。
(错)13.申请注册网上银行个人服务只能使用借记卡。
(错)14.柜员为客户注册成为VIP客户版或升级为VIP客户版时,均不需对客户身份进行黑名单检索。
(错)。
15.跨行现金管理服务提供7×24小时服务,系统工作日为自然日(对)16.如向网上银行用户发起主动收款,需要输入付款人姓名、付款人手机号码及付款人网银客户号(对)17.客户在T日进行的中银理财的认购挂单交易能在T+1的16:00前撤单。
(对)18.网银提供借记卡临时挂失功能。
借记卡临时挂失后5日后自动解挂,如需正式挂失需通过任意中行柜台进行申请。
(对)19.已开通电话银行的个人客户,可凭借电话银行密码在网上自助重置网银密码。
中国银行电子银行岗位认证考题-安全
中国银行电子银行岗位资格认证考试试题库网上银行BOCNET柜台-安全部分一、不定项选择题1、电子银行外部欺诈风险防范策略包括:(ABC)A 事前防范B 事中控制C 事后处置D 技术加固2、2011年1月27日全面推广手机交易码后,以下哪些交易需支持通过“动态口令+手机交易码”方式进行认证:(BCD)A 投资理财B 跨行转账C 行内转账D 网上支付3、我行网银外部欺诈事件原因包括:(ABC)A 犯罪分子猖獗B 客户风险防范意识薄弱C 第三方运营商运营不规范D 银行未履行告知义务4、《中国银行股份有限公司涉案账户网上银行及手机银行信息查询工作流程》(以下简称“信息查询工作流程”)中涉及的部门包括:(BC)A 运营服务部B 保卫部C 电子银行部D 信息科技部5、根据《信息查询工作流程》,一级分行电子银行部直接受理来哪里的网银及手机银行信息查询需求:(B)A 公安局B 一级分行保卫部C 总行保卫部D 信息科技部6、客户安全教育消除银行与客户间网银信息的不对称,提高客户正确使用网银的安全意识。
我行已采取客户安全教育的渠道包括:(ABCD)A 网银全局消息B 门户网站C 官方微博D 手机短信7、客户端身份认证是保障整个电子银行系统安全的基础。
常见的身份认证技术一般基于哪些信息:(ABCD)A 用户知道的(如静态口令,密码)B 用户拥有的(如动态口令牌、USBKEY)C 用户具有的(如指纹、语音、面部识别)D 计算机硬件信息(MAC 地址,CPU、硬盘信息)8、为进一步丰富网银安全认证机制,我行即将于7月推出新一代USBKey数字安全证书。
以下属于我行新一代USBKkey特点的是:(ABC)A 集成了液晶显示和按键确认功能B 预植证书,首次使用无需下载C 无需安装驱动程序D 需要安装电池9、行内员工第一时间发现假冒我行网站后,最快的举报途径为:(C)A 通过NOTES或短信形式向分行主管部门汇报B 通过NOTES或短信形式向总行电子银行部举报C 通过NOTES或短信形式向总行办公室举报D 通过NOTES或短信形式向总行保卫部举报10、客户通过柜台维护指定收款人账户后,可通过个人网银中哪些功能实现向已维护账户进行大额资金汇划的需求:(ABCD)A 中行内定向转账汇款B 国内跨行定向汇款C 非关联信用卡定向还款D 跨行实时定向付款11、我行电子银行安全管理策略包括:(D)A 全流程控制B 差异化管理C 实施/储备机制D 以上全对12、我行网上银行交易限额可根据如下不同维度而分别设定,具体维度包括(ABCD)A 服务渠道B 市场细分C 安全工具D 服务产品13、客户连续5次输错USBKey密码后,USBKey将会锁定,客户需要进行哪些操作:(ABCD)A 对USBKey进行初始化B 重新设置USBKey密码C 到柜台进行证书补发操作,得到参考号和授权码D 重新下载USBKey证书14、以下哪些是人民银行《网上银行系统信息安全通用规范(修订版)》中的要求:(ABD)A 具有屏幕显示、按键确认,对交易关键数据进行输入和确认的USBKeyB 挑战应答式OTPC 企业网银客户可以仅使用纯文件证书进行转账D 网上银行资金类交易等高风险操作均需使用双因素身份验证方式,例如静态用户名密码和安全认证设备等方式。
如何保护你的网上银行账户免受黑客攻击
如何保护你的网上银行账户免受黑客攻击随着科技的发展,网上银行已经成为人们日常生活中不可或缺的一部分。
然而,与之而来的是网络安全问题,尤其是黑客攻击。
因此,保护个人网上银行账户安全变得尤为重要。
本文将介绍几种方法来保护你的网上银行账户免受黑客攻击,并提供一些实用的安全措施。
一、保障账户密码安全1. 密码选择:选择强密码是保护网上银行账户的第一步。
确保密码长度在8到16个字符之间,并包含字母、数字和特殊字符的组合。
避免使用与个人信息相关的密码,如生日、手机号码等。
2. 定期更新密码:定期更改网上银行账户的密码是非常重要的。
建议每隔三个月就重新设置一次密码,避免使用相同的密码在多个账户之间循环使用。
3. 不使用公共无线网络:避免在公共无线网络上登录网上银行账户,因为这些网络往往缺乏安全性,容易被黑客窃取账户信息。
4. 不要共享密码:切勿与他人分享你的网上银行账户密码,包括亲朋好友。
保持密码私密,仅限于个人使用。
二、启用多重身份验证1. 短信验证:当你登录网上银行账户时,启用短信验证功能,该功能会向你的注册手机号发送一条验证码。
只有在验证通过后,才能成功登录账户。
2. 声纹识别:一些银行已经引入了声纹识别技术,该技术通过分析你的声音特征来验证你的身份。
启用这一功能可以提高账户的安全等级。
三、注意网上银行账户安全1. 安装杀毒软件:确保你的电脑或移动设备上安装了可靠的杀毒软件。
定期更新软件,并进行系统扫描以确保设备没有恶意软件。
2. 警惕钓鱼网站:当收到涉及账户信息的电子邮件或短信时,要特别警惕。
避免点击邮件或短信中的链接,以免被引导至钓鱼网站。
在使用网上银行时,要确保打开的网站是银行官方网站。
3. 检查账单和交易记录:定期检查你的网上银行账单和交易记录,确保没有异常的交易。
如果发现任何异常,要立即联系银行进行核实。
四、保持个人信息安全1. 小心使用社交媒体:避免在社交媒体平台上过多地披露个人信息,如生日、住址、联系方式等,这些信息可能被黑客用于进行身份盗窃。
专家支招用户安全用网银的“组合拳” 四组“招式” 打退网银威胁
58 /中国信息安全/2011.08不法分子假冒银行网站导致的,因此,上正确的网站是我们防止不法分子利用假冒网站、钓鱼网站、中间人攻击等非法手段盗取诈骗我们钱财的第一个要素。
如何保证访问正确的网站?这跟我们上网的习惯有关,建议在地址栏直接正确的输入银行的网址,同时把正确的网址放在收藏夹里。
当然还有很多工具,比如,提供安全上网的途径。
不要轻易打开来历不明的邮件,不要轻易 着科技的发展和网上银行的普及,网上银行安全问题早已不是一个新鲜的话题。
每一个新事物的产生都必然会遭受到种种挫折或者非议,网上银行的发展亦如此。
网上银行安全问题从产生之初,就受到了大众的关注,也正因如此,每一起网上银行安全事件都承载了众多的关注目光,而最近发生的网上银行安全事件造成了公众对网上银行信心的降低。
那么,我们怎样才能正确使用网上银行,保证网上银行的安全性呢?正如交通事故的责任不在于人们选择出行,而在于出行中降低了安全意识、违背了交通规则一样,为了保障网上银行安全,银行采取了相关措施进行防范,但同时用户也需要提高风险防范意识。
因此,正如不能够因噎废食一样,我们不能因为出行有风险便拒绝出行,同样也不能够因为网上银行使用中的安全问题而放弃使用网上银行,尤其是在提高自身防范意识可以避免网上银行使用风险的情况下。
那么,公众应该如何提高网上银行安全意识,完善网上银行防范措施呢?本文将分析公众如何提高风险防范意识,安全使用网上银行。
目前网上银行安全措施有几种形式,如数字证书、动态口令等。
在使用方面要注意,无论采取哪一种形式,以下几点都是一定要提起注意的:招式一 首先要注意个人信息保护公众要特别注意对账号密码、动态口令等敏感信息的保护。
银行卡的帐号和密码是私人所有,不要轻易告诉别人。
最近盛行的一种诈骗方式是假冒银行发送短信,在短信中附加假冒网站的网址。
这时要注意,银行每次发送短信都有固定电话号码,而不会通过手机号等其他号码来转告用户一些事情,因此,接到陌生的电话或者短信时要仔细核对电话号码是否正确,不要盲目轻信。
网银支付安全保障措施
网银支付安全保障措施什么是网银支付网银支付是银行通过网络为客户提供的在线支付服务。
使用网银支付可以方便快捷地完成在线支付,但同时也存在一定的安全风险,如资金盗窃、数据泄露等问题。
因此,银行在提供网银支付服务的同时,也采取了一系列的安全保障措施。
网银支付的安全保障措施1. 安全认证银行通过数字证书和动态口令等双重身份认证方式,确保用户的身份和账户安全。
用户在使用网银支付时需要输入用户名、密码以及动态口令等信息,从而验证用户身份和权限,防止非法入侵和盗窃。
2. 数据加密网银支付采用的是加密方式来保障通信数据的安全性,银行以加密形式对所有信息进行传输和存储。
网银支付的数据传输一般采用AES、RSA等强化加密技术,确保用户数据不会被黑客窃取和篡改。
3. 风险监控银行通过系统监控和风险管理等手段来监测用户账户操作和交易行为,及时进行风险预警和防范。
如果发现异常操作,系统将自动触发报警机制,防止资金被盗用。
4. 防止钓鱼欺诈银行在网银支付页面中设置了多层页面及多个输入验证项,以防止钓鱼欺诈等非法手段的侵害。
此外,用户在进行网银支付时,还可以验证URL地址和安全密钥等信息,以保证支付环境的安全性。
5. 设备管理用户在进行网银支付时,需要选择安全的终端设备,以防止病毒、恶意软件等安全威胁。
使用安全软件和杀毒软件等工具可以有效地保护用户的设备安全。
网银支付的安全使用建议为保障网银支付的安全性,我们建议您遵循以下几点:1.仅在可靠的设备上使用网银支付,避免使用公共设备或不安全网络。
2.使用复杂的密码,并定期更新密码。
3.定期检查账户信息和交易记录,及时发现异常和风险。
4.在不熟悉的网站上,不要输入个人信息,避免成为网络诈骗的受害者。
5.注意网络安全的基本常识,不轻易点击陌生链接和下载不明来源的文件。
结论网银支付作为现代化支付方式的重要组成部分,在提高支付效率的同时,也面临着更高的安全威胁。
银行为保障客户资金安全,采取了一系列的安全保障措施,用户在使用网银支付时,也应遵循基本的安全使用原则,加强安全意识和风险意识,才能更好地保护自己的财产安全。
农商行动态口令 -回复
农商行动态口令-回复什么是农商行动态口令?农商行动态口令是指农村商业银行在进行交易时需要客户输入的一种动态密码。
与传统的静态密码不同,动态口令是根据一定的算法和时钟同步产生的,在每次交易时都会有不同的值生成。
这样能够提高交易的安全性,防止密码泄露带来的风险。
农商行动态口令是农村商业银行为了保障客户的资金安全而推出的一种安全验证工具。
农商行动态口令通常由硬件令牌和手机动态口令两种方式来实现。
硬件令牌是一种带有屏幕和按键的小型设备,通过按下按键可以显示出一个特定时间段内的动态密码。
而手机动态口令则是通过将硬件令牌的功能移植到手机客户端上,使手机能够生成动态口令。
客户需要在每次登录或者进行重要交易时输入动态口令,以完成身份验证。
农村商业银行推出动态口令是为了解决传统密码容易被盗取或猜测的问题。
传统密码容易被黑客通过网络攻击方式获取,从而进一步盗取用户的资金。
而动态口令由于每次生成都不一样,增加了密码破解的难度,大大提高了账户的安全性。
农商行动态口令的使用步骤如下:第一步:注册在办理农村商业银行的网上银行服务时,客户可以选择开通动态口令功能。
默认情况下,客户会使用短信验证码进行身份验证。
但可以选择开通硬件令牌或者手机动态口令,需要向银行提交相关申请并缴纳相应的费用。
申请通过后,银行会寄送或者开通相应的动态口令设备。
第二步:初始化客户在收到动态口令设备后,需要初始化设备。
这通常需要客户在网上银行或者通过客户服务热线进行操作。
通过输入设备的序列号、用户账号和密码等信息,客户可以将设备与自己的账户进行绑定。
第三步:生成动态口令在每次需要输入动态口令的情况下,客户需要按下设备的按键,屏幕上会显示出一个特定时段内有效的动态口令。
这个动态口令可以用于登录网上银行、进行重要交易等操作。
动态口令的生成通常是基于标准算法和设备与银行服务器的时间同步。
第四步:输入动态口令客户在完成动态口令的生成后,需要将口令输入到相应的登录或者交易页面中。
网银安全保障措施
网银安全保障措施随着网络的广泛应用,人们对于网上银行业务的需求日益增长。
然而,网上银行在提供便利的同时也存在着一定的安全风险。
为了保障用户的资金安全和个人信息安全,银行和相关机构采取了一系列的安全措施。
本文将对网银安全保障措施展开详细阐述,不涉及政治。
1. 加密技术加密技术是保障网银安全的重要手段之一。
银行使用公开密钥加密技术(Public Key Infrastructure, PKI)来对用户数据进行加密传输。
通过这种技术,用户在使用网银进行转账或交易时,敏感信息将被自动加密,防止被不法分子窃取。
同时,银行采用HTTPS传输协议,确保数据传输的安全性。
2. 多因素身份验证为了防止他人冒充用户进行恶意操作,网银系统采取了多因素身份验证的措施。
传统的用户名和密码被加入了其他识别因素,如短信验证码、动态令牌或生物识别(如指纹识别、面部识别)等。
这种多因素身份验证能够大幅提高用户的账户安全性,有效防止身份被盗用。
3. 实时交易监控银行建立了强大的实时交易监控系统,能够及时发现并阻止可疑的交易行为。
这些系统通过分析用户的交易行为、地理位置和金额模式,自动检测异常行为,并进行警示或阻止。
同时,用户在进行大额转账或敏感操作时,系统会要求进行额外的身份验证,提高安全性。
4. 防火墙和入侵监测系统为了保护网银系统不受到未经授权的访问和攻击,银行采用了强大的防火墙和入侵监测系统。
防火墙能够过滤和封锁不明来源的网络连接请求,阻止未经授权的访问。
入侵监测系统能够及时发现并防止黑客的攻击行为,确保系统安全稳定运行。
5. 用户教育和安全意识培养银行积极开展用户教育和安全意识培养工作,提高用户对于网银安全的认知。
银行通过官方渠道发布安全提示和防范措施,告知用户常见网络诈骗手段和防范方法。
同时,银行会提醒用户保持个人电脑的安全,及时更新操作系统、浏览器和杀毒软件,防止恶意软件的感染。
简而言之,网银安全保障措施包括加密技术、多因素身份验证、实时交易监控、防火墙和入侵监测系统以及用户教育和安全意识培养。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
动态口令不能保证网上银行的安全自从十年前招商银行首次推出网上银行(以下简称网银)服务以来,网银已经迅速普及成为各银行必备的服务之一。
然而,网银在给我们带来极大便利的同时,也带来很高的交易风险。
随着网银普及率越来越高,与网银有关的安全问题开始引起人们关注,甚至有部分银行用户因为担心网银系统的安全而拒绝使用网银。
这种不信任的心态,已经成为阻碍网银业务进一步扩展的最大瓶颈。
为了进一步推广网上银行的使用,银行一直致力于寻找更安全的技术来保障用户的账户安全。
近几年,动态口令 (One Time Password,OTP)技术被越来越多的银行用来提高网银系统的安全性。
但是,动态口令能保护我们的账户安全吗?网银的安全漏洞在哪里?到底应该如何保证网银的安全?被打开的潘多拉魔盒网银的出现使我们在家动动指头就可以完成过去需要到柜台排队才能完成的事情,既方便了普通用户也大大提高了金融机构的运作效率,削减了其运作成本。
但是,凡事有利就有弊,网银同样逃脱不了网络普遍面临的安全威胁。
从网银业务开通伊始,网银大盗就如影随形,如苍蝇般紧紧盯上了这颗有缝的“鸡蛋”,那些麻烦有如打开了潘多拉魔盒一样纷拥而至。
1.“钓鱼”网站。
所谓“钓鱼”,即通过邮件或其他方式,诱骗用户登录到酷似银行官方网站的虚假网站,并诱使用户输入认证信息,从而间接获取用户的登录认证信息。
瑞典Nordea银行就曾经成为这种方法的攻击目标之一,短短15个月就损失上百万美元。
2. 键盘记录。
键盘记录,即通过木马监视用户正在操作的窗口,如果发现用户正在访问某网银系统的登录页面,就开始记录所有从键盘输入的内容。
例如,“网银大盗Ⅱ”木马就是典型例子,它把几乎所有的国内网银系统都列为盗窃的目标。
3.嵌入浏览器。
这种技术主要通过嵌入浏览器进程中的恶意代码来获取用户当前访问的页面地址和页面内容,并且在用户数据(包括账号密码)以SSL安全加密方式发送出去之前获取它们。
例如,“网银大盗”木马监测到用户正在访问某个引用了安全登录控件的地址时,就会让浏览器自动跳转到另外一个网页。
用户输入认证信息并通过验证后,木马就等在那里,盗取用户资金。
4.窃取文件数字证书数字证书是网银交易的一项重要安全保护措施。
有些银行使用文件证书,允许用户保存至硬盘,这是一个安全隐患。
“网银大盗”及其变种“灰鸽子”,就窃取用户计算机内的所有文件,包括安装在计算机上的网银文件数字证书,并且能够准确识别网银流程的每个步骤,自动记录必要的数据,最终再复制一份证书文件。
从而,利用盗取的证书和其他必要信息达到非法使用证书的最终目的。
以上只是列举了网银大盗攻击的常用手段。
实际上,随着网银业务的不断普及、深入和扩展,越来越多的新业务形式(如手机银行)涌现,网银大盗们总是步步紧追,各种新的、复杂的攻击技术就如同被打开的潘多拉魔盒,层出不穷,让人防不胜防。
“鸡蛋”上的“缝”大家都知道,网上银行是银行业务利用Internet作为业务提交渠道,通过网关衍生到互联网上的每一个终端用户(企业或者个人用户)。
由此可看出,网银系统可分为银行服务器、网络、客户端三部分。
从刚才列举的攻击手段来看,主要是钓鱼诈骗和木马移植,而攻击对象也集中在银行服务器和客户端。
据中科院安全专家李德全博士分析,之所以网络较少被攻击,是因为“网络层面的安全性比较容易解决,比如通过加密,通过证书认证,网络上的窃听者和伪造者可以被有效地拒之门外,所以问题主要出在两个端点,即用户、商家(银行)两个环节。
”因此,用户和商家(银行)就成为网银对抗“网银大盗”攻击最前沿、最重要的阵地。
近年来网银安全事故时常发生,而中国各大银行也不断对自身系统进行升级,服务器端的安全性极高,很少被大盗直接攻破。
而大盗们更多地将视线集中在数量众多但信息安全意识良莠不齐的用户(客户端)这里。
而用户的身份认证——唯一需要用户操作的地方,就成了网银这颗“鸡蛋”上的缝,受到众大盗们的频频“青睐”。
如何弥补这条“缝”?2007年中,银监办发布[2007]134号通告,通知各商业银行对所有网上银行高风险账户操作统一使用双重身份认证。
动态口令(OTP)也因此逐渐走入公众视线,被银行大力推荐。
什么是动态口令动态口令,又叫动态令牌、动态密码。
它的主要原理是:用户登录前,依据用户私人身份信息,并引入随机数产生随机变化的口令,使每次登录过程中传送的口令信息都不同,以提高登录过程中用户身份认证的安全性。
过程如下:登录前,首先产生登录用的动态口令,然后通过网络将动态口令传输给认证系统,认证系统收到动态口令后进行验算以验证用户合法性,当动态口令与验算口令一致后即认为用户是合法的。
银行通常提供给用户两种动态口令:一种是固定数量的动态口令,最常见的就是刮刮卡,每次根据银行提示,刮开卡上相应区域的涂层,即可获得一个口令。
刮刮卡成本低廉,使用方法简单,因此很多银行采用这种方法,如工商银行;另一种是硬件形式的动态口令,即电子令牌,它采用专用硬件,每次可以用自带的密码生成芯片得到一个当前可用的一次性动态密码。
交通银行等就采用这种方式。
一般来讲,每个客户端的电子令牌都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时令牌与服务器分别根据同样的密钥,同样的随机数和同样的算法计算出认证时的动态口令,从而确保口令的一致性和认证的成功。
因每次认证时,随机数的参数不同,所以每次产生的动态口令也不同。
每次计算时参数的随机性保证了每次口令不可预测,保证系统安全。
这些随机数是怎样产生的呢?动态口令随机数分为以下几类:1.口令序列:口令为一个单向的前后相关的序列,系统只用记录第N个口令。
用户用第N—1个口令登录时,系统用单向算法算出第N个口令与自己保存的第N 个口令匹配,以判断用户的合法性。
由于N是有限的,用户登录N次后必须重新初始化口令序列。
2.时间同步:以用户登录时间作为随机因素。
这种方式对双方的时间准确度要求较高,一般采取以分钟为时间单位的折中办法。
在这种动态口令中,对时间误差的容忍可达±1分钟。
3.事件同步:通过某一特定的事件次序及相同的种子值作为输入,使用相同的算法运算出一致的密码,其运算机理决定了其整个工作流程同时钟无关,不受时钟的影响。
它节省了用户每次输入挑战信息的麻烦,但当用户的挑战序列与服务器产生偏差后,需要重新同步。
4.挑战/应答:也叫异步认证方式。
它比时间/事件同步方式操作相对繁琐,实现相对复杂,一般用于对安全性要求更高的场合,比如登陆网上银行等,需要附加认证的情形。
当用户需要访问系统时,远程认证服务器根据用户的电子令牌资料产生一个随机的数字串,即“挑战码”,用户将该数字串输入到电子令牌中。
电子令牌利用内置的种子密钥和算法计算出相应的应答数(通常也是一个数字串)。
用户将该应答数输入系统。
系统根据所保存的该用户相应电子令牌信息(种子密钥和算法)计算出应答数,并与用户输入的应答数进行比较。
如果两者相同,则认证通过。
由于每个电子令牌的种子密钥不同,因此不同用户的电子令牌对同样的挑战数计算出应答数也并不相同。
只有用户持有指定的电子令牌才能计算出正确的应答数以通过系统认证。
从而可以保证该用户是持有指定电子令牌的合法用户。
由于口令每次都变化,即使得到密码也没用,而且这种动态口令由专用算法生成,随机性高,不太容易被破解。
因此,传统的木马程序,即使窃取到用户个人信息,拿去登录银行网页,也已经过期。
因此,动态口令极大地提高了用户身份认证的安全性。
动态口令能保护账户安全吗?自从采用动态口令技术后,人们不用再费力记密码,也不需要担心木马攻击了。
但是,动态口令能像我们希望的那样,为网银的安全提供保障吗?实际上,随着动态口令的普及,它的缺陷也越来越突出地暴露在大家面前,例如“刮刮卡”,因为它的口令数量固定,除去需定期更换的不便外,更重要的是它的安全隐患:如果长时间收集信息,就有可能收集齐所有动态口令,完全破解这种刮刮卡形式的动态口令,甚至复制或窃取那张小纸片,也可以冒用用户的身份信息。
而就电子令牌而言,为挑战电子令牌,大盗们也在孜孜不倦地追求更高的攻击技术,他们已不满足于传统“暴力”式的破解,一种称为“中间人钓鱼”的技术逐渐进入人们视线,而花旗银行已经成为这种攻击手段的目标之一。
我们前面曾讲到“钓鱼”网站,而这种技术就是“钓鱼”的升级版。
据报道,大盗使用一种能够拷贝现有银行网站的网页“钓鱼”攻击工具,先注册一个伪造域名,然后把这个域名和真实站点的URL网址插入软件的管理控制面板。
该工具接下来就可以和目标IP地址进行实时通信,并且采用代理把内容从合法的站点重新指向伪造的URL地址。
当用户在与自己银行的真实内容进行交互时,这些内容就已经增加了欺诈的成分。
伪造的URL地址潜伏在个人用户和目标之间,并且捕捉所有用户和被攻击服务器之间的数据,而用户很难识别这种攻击。
等用户发现账户资金异常时,大盗早已逃之夭夭。
为什么使用一次性口令的方法仍然不能有效地防止攻击呢?从网银交易过程来看,动态口令仅对用户身份进行认证,而没有对交易过程进行验证。
待用户身份确定之后,“中间人”便拦截用户的转账操作,篡改数据后发送给服务器,而服务器没有办法区分给它发出转账指令的是用户还是木马,直接执行了转账,“中间人”再把服务器返回的信息篡改后显示给用户。
这样,“中间人”就轻而易举地绕过动态口令,获取用户的个人认证信息,完全控制了这次交易。
而动态口令也就成为一个“形同虚设”的“保镖”,无法真正保护用户账户的安全。
而实际发生的一系列案例,也证明了动态口令无法锁牢用户的账户。
另外,动态口令通常使用对称式密钥技术,在银行服务器端的认证系统里,可以计算出所有动态密码。
因此,仅仅使用动态口令无法支持电子签名和公钥计算,也就无法参与到交易过程中进行保护,更谈不上实现“不可抵赖性”。
真正的“防盗门”中国金融认证中心总经理李晓峰先生认为:完成一个安全交易,在应用层面上必须保证交易双方不仅要有身份认证,要有保密、完整、未被篡改的数据,还需要保证这个交易是不可抵赖的,一旦与银行出现交易纠纷,这些都是必需的法律依据。
因此,网银必须具备真正可靠的法律上认可的电子签名和证书,这才是问题的最终解决办法。
同样是使用双重身份认证技术,带有智能卡芯片的USB KEY数字证书因采用了公钥体系(PKI),支持电子签名,它的安全性更高。
USB KEY的防范本质在于它的数字证书能够真正保护交易过程,而不仅仅在于交易开始阶段的身份认证。
相比动态口令技术,单独存放在USB KEY数字证书内部的密钥在交易过程中,都会参与交易内容的计算,比如加密和签名等操作。
由于USB KEY是单独的硬件设备,而新一代的USB KEY还添加了交易认证技术,使得网络钓鱼攻击者也就无法伪造用户签名,冒充用户登录服务器,也无法篡改用户的交易数据,从而抵抗类似“交易伪造”或“交易劫持”等针对交易而不是针对身份的攻击。