乱谈银行安全

乱谈银行安全

互联网安全仍然是很火的话题，不过IT技术更新较快，枝节问题过多大多数人

是不了解的，我这里做些乱谈尽量为大家解释清楚并送上安全攻略。

开始说明之前，我先对一些基础概念做出说明。

保护整个互联网安全的核心是一些基于数学原理的加密算法，大致上有这么几种。

1.对称加密算法，典型代表AES算法（市面上见到的AES128，AES256都是AES算法只是密钥（密码）长度上有所区别），对称加密算法很简单，原文和

密钥（密码）在一起进行某种运算（不是写给程序员或者数学专家看的这里我都省略具体的过程，后面也一样）得到结果密文，如果要还原密文为原文则必须要使用和原文加密时相同的密钥才可以还原。

看到这里，问题来了，如果我要使用对称加密算法传递给别人信息，那么我就需要发送密文和密钥，而发送的密钥被人看到了不就等于没加密了么？于是乎有了下面第二类算法

2.非对称加密算法，典型代表RSA算法（RSA1024或者RSA2048同样也都是RSA算法只是密钥长度不同），非对称加密算法有2组密钥，密钥A公钥，密钥B私钥，与对称算法不同，如果使用A密钥加密过后的原文，必须要用B密钥解密才能看到原文，反过来B密钥加密的原文也只能用A密钥解密。通常公

钥会公开给他人，这样我们自己要发送消息用B密钥加密，其他人只能通过A

密钥查看消息，无法修改也无法伪造，这样一来，他人若想进行加密传输只需要使用A密钥加密发送给我，除了我之外没有其他人能看到这则消息的内容了。

把对称加密和非对称加密联合起来使用就能建立一个安全的其他人无法查看的

通信（当然，仅使用非对称加密也是可以的）。

最后还有一种经常使用的加密算法

3.哈希算法，典型代表（MD系列算法如MD4,MD5，SHA系列算法如

SHA1,SHA256）哈希算法和前面提到的均不同，他对任意长度的数据进行运算后得到一个固定长度的数据，得到的这个值叫哈希值，可用来确认数据的一致性。相同的原文使用同样的哈希算法计算出来的哈希值是相同的，不同的原文使用同样的哈希算法计算出来的哈希值是不同的（不考虑冲撞的情况下）。

我们的互联网就是由以上三种算法来保护的，这些算法本身都是通过数学方法来证明的，目前看安全性毋庸置疑，了解了这些我们就正式开始下面的内容。

作为银粉一枚，会看到有人怀疑网上银行（或者手机银行，后续无特殊说明均包含手机银行）是不是安全？

我的观点很简单，网上银行其实比去银行柜台都要安全，理由很简单，网上银行能用数学方法证明我的身份而柜台不能。柜台只能检查身份证，身份证上的人究

竟是不是本人嘛，这事还真说不好

网银常用的2种安全介质大致上有2种，1、密码器，2、U盾。我们一个一个看。

首先是密码器，密码器内部会有微型的处理器，这个微型的处理器会将密码器内用于标识身份的那么一串内置数据（暂且称他为密钥吧）和处理器内其他的一些数据（如时间）或者外部用户输入的一些数据使用某种未知的算法进行运算得到一个6位的密码显示出来。

当网银需要验证身份的时候，银行服务器会把密码器上内置的数据和其他因素

（如时间）用同样的方法进行运算，密码器和银行服务器在同样的因素下得到的答案肯定是一样的，所以用户输入密码器上显示的密码，银行就知道了这个人是合法用户。

接着看U盾，U盾内部同样有一颗处理器除此之外还有一样东西叫证书，证书

内包含一组非对称密钥（当然还有其他的东西这里略过），在网上银行需要交易的时候，银行端会发送一串数据，要求U盾使用证书私钥进行加密，U盾内部

的处理器会使用证书私钥完成加密并发送出去，银行服务器收到后会使用账户对应的证书公钥进行解密，确认无误后验证过程完毕才可以交易。

可以看到，整个流程中最为关键的私钥是不会流出的，U盾内部独立完成处理，所以U盾不可复制，没有U盾也不可能认证成功。

由于U盾不可复制，攻击者可能会选择控制电脑远程操作U盾这样的方式来发

起攻击，于是乎U盾也进行了创新，上面加了按键，远程操作总不能碰到物理

按键吧，这样就可以防止未经用户授权私自使用U盾远程进行交易。

那万一有木马程序修改了交易对象，但是网页上还是显示正常的交易对象怎么办？所以U盾这玩意又增加了显示屏，上面会清楚的显示交易对象和金额防止此类

事件。

如果认真读完前面说过的原理，那么就差不多该理解为什么网上银行实质上比柜台安全。

除此之外，客户端和银行服务器之间的通讯也都采用了TLS协议加密，第三方

无法看到你和银行直接通讯的内容。

备注：TLS协议就是使用了非对称和对称加密联合起来建立安全通信的协议。

此外银行还准备了安全控件，用来保护用户输入密码时密码不被第三方程序截获。（当然这个安全控件有没有用，有多大用，这个问题由于太伤心就不明说了）可以说国内银行在网银安全方面是十分用心的。

接着来掰扯银行卡的安全性

银行卡有纯磁条卡和芯片卡（磁条+芯片卡和纯芯片卡均算在此列），很多人认为更换芯片卡是完全浪费钱的，这样的观点是绝对错误的。

磁条卡上的磁条，可以简单的当初一个U盘，复制了U盘的数据就等于复制了

卡片，十分简单。

芯片卡使用的方案和U盾类似，芯片是一个微型处理器，每次交易都是用私钥

对交易进行签名，由于每次交易都是不可能一样的，所以芯片卡无法复制。磁条加芯片的复合卡片由于央行已经要求关闭磁条卡通道，所以等同于纯芯片卡了。

那问题来了这么多银行卡被盗的案件是怎么发生的？

大致上根据我看到的案例有这么几种情况。

1.银行卡被复制产生的盗刷，更换芯片卡可以解决

2.银行卡信息泄漏产生的盗刷，对于各种信用卡，不管是银联的还是visa的，

也不管有没有设置密码，只需要卡号，姓名，卡片有效期，和银行卡反面的CVV 就可以刷卡了（有些通道下面，CVV都不用）这样的盗刷是没有办法的只能自

己保护好信息。当然也有辅助性的解决方案，不用的卡片可以设置刷卡限额，要用的时候在打开。

3.通过钓鱼网站，电话诈骗，木马等手段获取短信验证码开通快捷支付进行盗刷。