动态口令不能保证网上银行的安全
网上银行安全使用及防范技巧
网上银行安全使用及防范技巧针对近期网上银行不安全事件频繁发生的现象,中国金融认证中心推出了专业的数字证书,承诺如果由于其加密机制被破解,而使客户遭受损失,客户可向其索赔,金额最高达80万元,首度明确了网银纠纷的责任及赔偿。
其实,包括网上银行在内的网上支付逐渐进入普通百姓理财领域的时候,如何保证其安全就成了理财的首要问题。
一、网银安全可严防最近一段时期以来,网络欺诈事件呈跳跃式增长,木马病毒、假银行网站……成了网上银行安全的最大威胁,公众普遍存在着对网上银行安全性的忧虑。
对此,有关专家表示,目前我国发生的网上银行资金被盗案件基本上都是针对大众版用户,以“卡号+口令”方式登录网上银行面临着安全风险,在这种情况下,通过外部方式对于网银安全进行加密就显得非常必要。
此次推出数字证书的中国金融认证中心是目前内地金融行业唯一的经中国人民银行和国家信息安全管理机构批准成立的国家级权威的第三方安全认证机构,用户只要使用可以存放在USB key上的数字证书登录网上银行,就可以更好地保证安全。
除了第三方的安全认证机构之外,各网上银行目前也纷纷推出了外部的加密手段,建行新版网上银行推出了新增加了密码控件、安全控件、预留防伪信息验证、暂停网银服务安全手段,配合原有的双重密码保护、电子证书、动态口令卡等各种安全手段组合,可以最大限度地确保客户信息与网上交易资金的安全。
工商银行也为客户提供了U盾、电子银行口令卡、防病毒安全控件、余额变动提醒、预留信息验证等一系列安全措施。
二、网上支付选择多网上银行只是网上支付的一种形式,据一项调查显示,在网民不使用网上银行的原因中,61%%担心交易的安全性,其中42.7%%的人担心泄露个人信息。
这就导致贝宝、支付宝等第三方支付平台已经随着电子商务的发展开始逐渐在网上支付中占据了重要的地位。
建设银行与支付宝推出了支付宝龙卡,持卡人将支付宝账户与支付宝龙卡通过建行柜台绑定后,可直接通过支付宝龙卡活期账户,完成持卡人在支付宝的在线支付业务,以后的网上购物可以直接通过“支付宝龙卡”支付,无须再通过银行先转账到自己的支付宝账户。
个人电子银行资格认证考试复习题库
个人电子银行资格认证考试复习题库判断题1.手机交易码信息与交易内容(收款人、金额及收款账号)绑定,指定交易码只能用于验证绑定交易,可以有效防范木马病毒、网络钓鱼等诈骗行为。
(对)2.为加强客户开户风险提示,柜员为客户开通网银服务时应让客户阅知并作答相关网银风险提示。
(对)3.网银操作页面通过合理的色彩搭配帮助用户识别不同的服务功能。
(对)4.登录网银后,个人用户如发起对他人转账,投资服务开通等重要交易时需再次输入动态口令进行身份验证。
(对)5.网上银行个人服务支持信用卡主动还款。
(对)6.中银e信是指通过在线定制手机短信提醒服务,网银用户在进行网上转账、缴费、预约汇款等操作时能及时收到交易提醒短信。
(对)7.网上银行的用户名可以根据客户的喜好随意修改。
(错)8.“服务设定”的“交易限额设置”,需客户使用电子银行认证工具,进行身份验证。
(对)9.个人客户进行网上支付的过程中,需选择用于本次支付的银行卡。
(对)10.个人客户将某张银行卡设置为网上支付卡的过程中,无需进行电子银行安全认证工具认证。
(错)11.BOCNET系统不允许客户设置自己的单笔交易限额和当日累计交易限额。
(错)12.个人客户必须到柜台申请才能开通中国银行网上银行BOCNET个人服务。
(错)13.申请注册网上银行个人服务只能使用借记卡。
(错)14.柜员为客户注册成为VIP客户版或升级为VIP客户版时,均不需对客户身份进行黑名单检索。
(错)。
15.跨行现金管理服务提供7×24小时服务,系统工作日为自然日(对)16.如向网上银行用户发起主动收款,需要输入付款人姓名、付款人手机号码及付款人网银客户号(对)17.客户在T日进行的中银理财的认购挂单交易能在T+1的16:00前撤单。
(对)18.网银提供借记卡临时挂失功能。
借记卡临时挂失后5日后自动解挂,如需正式挂失需通过任意中行柜台进行申请。
(对)19.已开通电话银行的个人客户,可凭借电话银行密码在网上自助重置网银密码。
中国银行电子银行岗位认证考题-安全
中国银行电子银行岗位资格认证考试试题库网上银行BOCNET柜台-安全部分一、不定项选择题1、电子银行外部欺诈风险防范策略包括:(ABC)A 事前防范B 事中控制C 事后处置D 技术加固2、2011年1月27日全面推广手机交易码后,以下哪些交易需支持通过“动态口令+手机交易码”方式进行认证:(BCD)A 投资理财B 跨行转账C 行内转账D 网上支付3、我行网银外部欺诈事件原因包括:(ABC)A 犯罪分子猖獗B 客户风险防范意识薄弱C 第三方运营商运营不规范D 银行未履行告知义务4、《中国银行股份有限公司涉案账户网上银行及手机银行信息查询工作流程》(以下简称“信息查询工作流程”)中涉及的部门包括:(BC)A 运营服务部B 保卫部C 电子银行部D 信息科技部5、根据《信息查询工作流程》,一级分行电子银行部直接受理来哪里的网银及手机银行信息查询需求:(B)A 公安局B 一级分行保卫部C 总行保卫部D 信息科技部6、客户安全教育消除银行与客户间网银信息的不对称,提高客户正确使用网银的安全意识。
我行已采取客户安全教育的渠道包括:(ABCD)A 网银全局消息B 门户网站C 官方微博D 手机短信7、客户端身份认证是保障整个电子银行系统安全的基础。
常见的身份认证技术一般基于哪些信息:(ABCD)A 用户知道的(如静态口令,密码)B 用户拥有的(如动态口令牌、USBKEY)C 用户具有的(如指纹、语音、面部识别)D 计算机硬件信息(MAC 地址,CPU、硬盘信息)8、为进一步丰富网银安全认证机制,我行即将于7月推出新一代USBKey数字安全证书。
以下属于我行新一代USBKkey特点的是:(ABC)A 集成了液晶显示和按键确认功能B 预植证书,首次使用无需下载C 无需安装驱动程序D 需要安装电池9、行内员工第一时间发现假冒我行网站后,最快的举报途径为:(C)A 通过NOTES或短信形式向分行主管部门汇报B 通过NOTES或短信形式向总行电子银行部举报C 通过NOTES或短信形式向总行办公室举报D 通过NOTES或短信形式向总行保卫部举报10、客户通过柜台维护指定收款人账户后,可通过个人网银中哪些功能实现向已维护账户进行大额资金汇划的需求:(ABCD)A 中行内定向转账汇款B 国内跨行定向汇款C 非关联信用卡定向还款D 跨行实时定向付款11、我行电子银行安全管理策略包括:(D)A 全流程控制B 差异化管理C 实施/储备机制D 以上全对12、我行网上银行交易限额可根据如下不同维度而分别设定,具体维度包括(ABCD)A 服务渠道B 市场细分C 安全工具D 服务产品13、客户连续5次输错USBKey密码后,USBKey将会锁定,客户需要进行哪些操作:(ABCD)A 对USBKey进行初始化B 重新设置USBKey密码C 到柜台进行证书补发操作,得到参考号和授权码D 重新下载USBKey证书14、以下哪些是人民银行《网上银行系统信息安全通用规范(修订版)》中的要求:(ABD)A 具有屏幕显示、按键确认,对交易关键数据进行输入和确认的USBKeyB 挑战应答式OTPC 企业网银客户可以仅使用纯文件证书进行转账D 网上银行资金类交易等高风险操作均需使用双因素身份验证方式,例如静态用户名密码和安全认证设备等方式。
如何保护你的网上银行账户免受黑客攻击
如何保护你的网上银行账户免受黑客攻击随着科技的发展,网上银行已经成为人们日常生活中不可或缺的一部分。
然而,与之而来的是网络安全问题,尤其是黑客攻击。
因此,保护个人网上银行账户安全变得尤为重要。
本文将介绍几种方法来保护你的网上银行账户免受黑客攻击,并提供一些实用的安全措施。
一、保障账户密码安全1. 密码选择:选择强密码是保护网上银行账户的第一步。
确保密码长度在8到16个字符之间,并包含字母、数字和特殊字符的组合。
避免使用与个人信息相关的密码,如生日、手机号码等。
2. 定期更新密码:定期更改网上银行账户的密码是非常重要的。
建议每隔三个月就重新设置一次密码,避免使用相同的密码在多个账户之间循环使用。
3. 不使用公共无线网络:避免在公共无线网络上登录网上银行账户,因为这些网络往往缺乏安全性,容易被黑客窃取账户信息。
4. 不要共享密码:切勿与他人分享你的网上银行账户密码,包括亲朋好友。
保持密码私密,仅限于个人使用。
二、启用多重身份验证1. 短信验证:当你登录网上银行账户时,启用短信验证功能,该功能会向你的注册手机号发送一条验证码。
只有在验证通过后,才能成功登录账户。
2. 声纹识别:一些银行已经引入了声纹识别技术,该技术通过分析你的声音特征来验证你的身份。
启用这一功能可以提高账户的安全等级。
三、注意网上银行账户安全1. 安装杀毒软件:确保你的电脑或移动设备上安装了可靠的杀毒软件。
定期更新软件,并进行系统扫描以确保设备没有恶意软件。
2. 警惕钓鱼网站:当收到涉及账户信息的电子邮件或短信时,要特别警惕。
避免点击邮件或短信中的链接,以免被引导至钓鱼网站。
在使用网上银行时,要确保打开的网站是银行官方网站。
3. 检查账单和交易记录:定期检查你的网上银行账单和交易记录,确保没有异常的交易。
如果发现任何异常,要立即联系银行进行核实。
四、保持个人信息安全1. 小心使用社交媒体:避免在社交媒体平台上过多地披露个人信息,如生日、住址、联系方式等,这些信息可能被黑客用于进行身份盗窃。
专家支招用户安全用网银的“组合拳” 四组“招式” 打退网银威胁
58 /中国信息安全/2011.08不法分子假冒银行网站导致的,因此,上正确的网站是我们防止不法分子利用假冒网站、钓鱼网站、中间人攻击等非法手段盗取诈骗我们钱财的第一个要素。
如何保证访问正确的网站?这跟我们上网的习惯有关,建议在地址栏直接正确的输入银行的网址,同时把正确的网址放在收藏夹里。
当然还有很多工具,比如,提供安全上网的途径。
不要轻易打开来历不明的邮件,不要轻易 着科技的发展和网上银行的普及,网上银行安全问题早已不是一个新鲜的话题。
每一个新事物的产生都必然会遭受到种种挫折或者非议,网上银行的发展亦如此。
网上银行安全问题从产生之初,就受到了大众的关注,也正因如此,每一起网上银行安全事件都承载了众多的关注目光,而最近发生的网上银行安全事件造成了公众对网上银行信心的降低。
那么,我们怎样才能正确使用网上银行,保证网上银行的安全性呢?正如交通事故的责任不在于人们选择出行,而在于出行中降低了安全意识、违背了交通规则一样,为了保障网上银行安全,银行采取了相关措施进行防范,但同时用户也需要提高风险防范意识。
因此,正如不能够因噎废食一样,我们不能因为出行有风险便拒绝出行,同样也不能够因为网上银行使用中的安全问题而放弃使用网上银行,尤其是在提高自身防范意识可以避免网上银行使用风险的情况下。
那么,公众应该如何提高网上银行安全意识,完善网上银行防范措施呢?本文将分析公众如何提高风险防范意识,安全使用网上银行。
目前网上银行安全措施有几种形式,如数字证书、动态口令等。
在使用方面要注意,无论采取哪一种形式,以下几点都是一定要提起注意的:招式一 首先要注意个人信息保护公众要特别注意对账号密码、动态口令等敏感信息的保护。
银行卡的帐号和密码是私人所有,不要轻易告诉别人。
最近盛行的一种诈骗方式是假冒银行发送短信,在短信中附加假冒网站的网址。
这时要注意,银行每次发送短信都有固定电话号码,而不会通过手机号等其他号码来转告用户一些事情,因此,接到陌生的电话或者短信时要仔细核对电话号码是否正确,不要盲目轻信。
网银支付安全保障措施
网银支付安全保障措施什么是网银支付网银支付是银行通过网络为客户提供的在线支付服务。
使用网银支付可以方便快捷地完成在线支付,但同时也存在一定的安全风险,如资金盗窃、数据泄露等问题。
因此,银行在提供网银支付服务的同时,也采取了一系列的安全保障措施。
网银支付的安全保障措施1. 安全认证银行通过数字证书和动态口令等双重身份认证方式,确保用户的身份和账户安全。
用户在使用网银支付时需要输入用户名、密码以及动态口令等信息,从而验证用户身份和权限,防止非法入侵和盗窃。
2. 数据加密网银支付采用的是加密方式来保障通信数据的安全性,银行以加密形式对所有信息进行传输和存储。
网银支付的数据传输一般采用AES、RSA等强化加密技术,确保用户数据不会被黑客窃取和篡改。
3. 风险监控银行通过系统监控和风险管理等手段来监测用户账户操作和交易行为,及时进行风险预警和防范。
如果发现异常操作,系统将自动触发报警机制,防止资金被盗用。
4. 防止钓鱼欺诈银行在网银支付页面中设置了多层页面及多个输入验证项,以防止钓鱼欺诈等非法手段的侵害。
此外,用户在进行网银支付时,还可以验证URL地址和安全密钥等信息,以保证支付环境的安全性。
5. 设备管理用户在进行网银支付时,需要选择安全的终端设备,以防止病毒、恶意软件等安全威胁。
使用安全软件和杀毒软件等工具可以有效地保护用户的设备安全。
网银支付的安全使用建议为保障网银支付的安全性,我们建议您遵循以下几点:1.仅在可靠的设备上使用网银支付,避免使用公共设备或不安全网络。
2.使用复杂的密码,并定期更新密码。
3.定期检查账户信息和交易记录,及时发现异常和风险。
4.在不熟悉的网站上,不要输入个人信息,避免成为网络诈骗的受害者。
5.注意网络安全的基本常识,不轻易点击陌生链接和下载不明来源的文件。
结论网银支付作为现代化支付方式的重要组成部分,在提高支付效率的同时,也面临着更高的安全威胁。
银行为保障客户资金安全,采取了一系列的安全保障措施,用户在使用网银支付时,也应遵循基本的安全使用原则,加强安全意识和风险意识,才能更好地保护自己的财产安全。
农商行动态口令 -回复
农商行动态口令-回复什么是农商行动态口令?农商行动态口令是指农村商业银行在进行交易时需要客户输入的一种动态密码。
与传统的静态密码不同,动态口令是根据一定的算法和时钟同步产生的,在每次交易时都会有不同的值生成。
这样能够提高交易的安全性,防止密码泄露带来的风险。
农商行动态口令是农村商业银行为了保障客户的资金安全而推出的一种安全验证工具。
农商行动态口令通常由硬件令牌和手机动态口令两种方式来实现。
硬件令牌是一种带有屏幕和按键的小型设备,通过按下按键可以显示出一个特定时间段内的动态密码。
而手机动态口令则是通过将硬件令牌的功能移植到手机客户端上,使手机能够生成动态口令。
客户需要在每次登录或者进行重要交易时输入动态口令,以完成身份验证。
农村商业银行推出动态口令是为了解决传统密码容易被盗取或猜测的问题。
传统密码容易被黑客通过网络攻击方式获取,从而进一步盗取用户的资金。
而动态口令由于每次生成都不一样,增加了密码破解的难度,大大提高了账户的安全性。
农商行动态口令的使用步骤如下:第一步:注册在办理农村商业银行的网上银行服务时,客户可以选择开通动态口令功能。
默认情况下,客户会使用短信验证码进行身份验证。
但可以选择开通硬件令牌或者手机动态口令,需要向银行提交相关申请并缴纳相应的费用。
申请通过后,银行会寄送或者开通相应的动态口令设备。
第二步:初始化客户在收到动态口令设备后,需要初始化设备。
这通常需要客户在网上银行或者通过客户服务热线进行操作。
通过输入设备的序列号、用户账号和密码等信息,客户可以将设备与自己的账户进行绑定。
第三步:生成动态口令在每次需要输入动态口令的情况下,客户需要按下设备的按键,屏幕上会显示出一个特定时段内有效的动态口令。
这个动态口令可以用于登录网上银行、进行重要交易等操作。
动态口令的生成通常是基于标准算法和设备与银行服务器的时间同步。
第四步:输入动态口令客户在完成动态口令的生成后,需要将口令输入到相应的登录或者交易页面中。
网银安全保障措施
网银安全保障措施随着网络的广泛应用,人们对于网上银行业务的需求日益增长。
然而,网上银行在提供便利的同时也存在着一定的安全风险。
为了保障用户的资金安全和个人信息安全,银行和相关机构采取了一系列的安全措施。
本文将对网银安全保障措施展开详细阐述,不涉及政治。
1. 加密技术加密技术是保障网银安全的重要手段之一。
银行使用公开密钥加密技术(Public Key Infrastructure, PKI)来对用户数据进行加密传输。
通过这种技术,用户在使用网银进行转账或交易时,敏感信息将被自动加密,防止被不法分子窃取。
同时,银行采用HTTPS传输协议,确保数据传输的安全性。
2. 多因素身份验证为了防止他人冒充用户进行恶意操作,网银系统采取了多因素身份验证的措施。
传统的用户名和密码被加入了其他识别因素,如短信验证码、动态令牌或生物识别(如指纹识别、面部识别)等。
这种多因素身份验证能够大幅提高用户的账户安全性,有效防止身份被盗用。
3. 实时交易监控银行建立了强大的实时交易监控系统,能够及时发现并阻止可疑的交易行为。
这些系统通过分析用户的交易行为、地理位置和金额模式,自动检测异常行为,并进行警示或阻止。
同时,用户在进行大额转账或敏感操作时,系统会要求进行额外的身份验证,提高安全性。
4. 防火墙和入侵监测系统为了保护网银系统不受到未经授权的访问和攻击,银行采用了强大的防火墙和入侵监测系统。
防火墙能够过滤和封锁不明来源的网络连接请求,阻止未经授权的访问。
入侵监测系统能够及时发现并防止黑客的攻击行为,确保系统安全稳定运行。
5. 用户教育和安全意识培养银行积极开展用户教育和安全意识培养工作,提高用户对于网银安全的认知。
银行通过官方渠道发布安全提示和防范措施,告知用户常见网络诈骗手段和防范方法。
同时,银行会提醒用户保持个人电脑的安全,及时更新操作系统、浏览器和杀毒软件,防止恶意软件的感染。
简而言之,网银安全保障措施包括加密技术、多因素身份验证、实时交易监控、防火墙和入侵监测系统以及用户教育和安全意识培养。
银行网络安全宣传教育知识
银行网络安全宣传教育知识银行网络安全宣传教育知识银行的安全需要您提高安全意识,养成良好的安全习惯,不给犯罪分子可趁之机。
为了保护您的账户和网上交易的安全,针对网上银行和手机银行的特点,提出一些对您有所帮助的建议。
一、关于网上银行1.保管好您的数字证书和手机数字证书和手机动态密码是确保您网上交易安全的重要手段,必须妥善保管。
我行建议您使用移动证书或动态密码,并将查询密码和交易密码设置为不同的密码值。
您若使用移动证书(U-KEY)登录网上银行,证书须下载到U-KEY中,并妥善保管,不要随意交给他人使用;请仅在需要使用时才将U-KEY插于电脑,完成交易后,请及时拔出。
您还可以选择启用动态密码保护。
开通网银时预留的接收动态密码的手机及手机号码须由您本人使用,不可转借他人;所收到的动态密码不可转发或告知他人,并在使用后及时删除,任何泄漏动态密码的行为将对您的账户带来安全隐患。
2.保护好您的密码您的查询密码、交易密码,任何时候不得泄露给他人(包括自称银行工作人员的任何人),否则将给您的账户带来安全隐患。
不要使用相同数字、连续数字、生日、电话号码等作为密码,查询密码和各卡/折的交易密码均应设置为不同数值,并定期更改。
如您不慎把密码告知他人,建议尽快修改密码或办理银行卡挂失,并向银行柜面人员了解安全措施。
3.提高警惕谨防欺诈第一,我们需要提防假网站。
强烈建议您将我行网站地址添加到浏览器的“收藏夹”中,尽量不要采用超级链接方式间接访问我行网站,并留意地址栏的域名变化。
使用网银购物时需认清我行网站,通过查询密码验证,确认页面显示的客户号和预留信息后,再行输入动态密码。
这里特别提示一下,我行网站可以设置预留信息,登录网银后预留信息会在网页醒目位置显示,登录网银后看不到预留信息,这个网站就可能是假冒的。
总之,需严防他人通过钓鱼网站或虚假交易骗取动态密码,输入动态密码前请检查短信中的收款账号、交易金额等信息,尤其应注意防范他人骗取动态密码,修改网银通知手机号码。
动态口令卡
动态口令卡业务一、定义及简介(一)定义网上银行动态口令,指网上银行用户在办理网上银行交易过程中,使用非联机的客户端设备获得的,用于交易授权的一次性口令。
动态口令卡,指在使用时刮开覆膜读取预先印刷好的动态口令的卡片。
动态口令是一种动态密码技术,简单地说,就是客户每次在网上银行进行资金交易或恢复静态密码、自助换卡等操作时需要输入的不同的密码,进行交易确认。
我行此次推出的网上银行动态口令卡是一种大小、形状与银行卡一样的卡片,每张动态口令卡覆盖有30个不同的密码。
客户在使用网上银行过程中,需要输入交易密码时,只需按顺序输入动态口令卡上的密码,每个密码只可以使用一次。
(二)特点1.一次一密、安全可靠客户为了便于记忆,经常使用位数少、简单,或有规律的静态密码,这样的密码容易被犯罪分子破解;位数多、复杂的静态密码并经常更换的话,又很容易造成密码混乱或是遗忘的情况。
相比之下,动态口令一次一密的方法,克服了上述缺点,不需客户记忆,每次按卡使用新的密码,同时简单而有效的解决了“木马”病毒窃取网上银行密码的问题。
2.操作简单、方便快捷动态口令的生成与客户电脑无关,不需要在客户的电脑上安装任何程序。
3.技术成熟、应用广泛动态口令技术有二十多年的发展历史,在国外网上银行的使用也有六年多的时间,在网上银行业务较发达的北欧地区,动态口令的使用十分普及。
目前香港地区正在大力推进动态口令在网上银行的应用。
4.量身定做、便于携带我行推出的网上银行动态口令卡,是专门针对网上银行个人客户的需要设计开发的,外表和银行卡一样大小,便于客户携带。
每张动态口令卡上印有30个密码,按照客户平均每月办理2-3次网上银行资金交易计算,一张卡可以满足客户一年的使用需求。
今后,还将陆续为客户推出其它载体形式的动态口令,给客户以更多、更好的选择。
二、卡样1.正面2.背面每张卡片背面均有30个密码,在使用时按照密码编号从左向右依次将密码刮开即可。
三、使用方法(一)绑定客户绑定动态口令卡有两种方式。
手机银行安全措施
手机银行安全措施1. 引言随着智能手机的普及,手机银行已经成为人们日常生活中不可或缺的一部分。
然而,随之而来的安全问题也越来越受到人们的关注。
本文将介绍手机银行的安全措施,以帮助用户更好地保护自己的资金和个人信息。
2. 密码安全密码是保护手机银行账户安全的第一道防线。
以下是一些常见的密码安全措施:•选择强密码:使用至少8位字符的组合密码,包含大小写字母、数字和特殊字符。
•定期更新密码:每隔一段时间更改密码,避免长时间使用同一密码。
•避免使用常见密码:避免使用与个人信息相关的密码,如生日、手机号码等。
3. 双重认证双重认证可以增加账户的安全性,以下是一些常见的双重认证方式:•短信验证码:在登录或进行敏感操作时,手机银行会将验证码发送到用户绑定的手机号码上,确保只有拥有手机的用户才能完成操作。
•动态口令:手机银行可以生成一次性的动态口令,用户登录时需要输入动态口令,提供了更高的安全性。
•指纹识别:一些手机银行还支持指纹识别,通过手机上的指纹传感器验证用户身份。
4. 防止恶意软件手机银行的安全还需要防止恶意软件对用户账户信息的窃取。
以下是一些防止恶意软件的措施:•下载应用来源可信的平台:只从官方应用商店或其他可信的应用市场下载手机银行应用,避免从第三方网站下载应用。
•保持手机系统和应用程序更新:及时更新手机操作系统和手机银行应用程序,确保获取最新的安全补丁和功能。
•安装杀毒软件:在手机上安装可信的杀毒软件,定期进行病毒扫描,确保手机的安全。
5. 账户监控及时监控账户活动可以帮助用户发现并防范任何异常行为。
以下是一些账户监控的建议:•定期检查账户余额和交易记录:定期查看手机银行账户的余额和交易记录,确保没有未经授权的交易。
•启用交易提醒功能:手机银行提供了交易提醒功能,可以设置接收短信或推送通知来提醒用户有关账户活动的信息。
•立即报告任何可疑活动:如果发现任何可疑的账户活动,立即联系银行并报告问题,以便采取必要的措施。
网银的安全保障措施是什么
网银的安全保障措施是什么随着网络时代的发展,越来越多的人开始使用网银进行支付、转账等操作,但同时也面临着网络安全的威胁。
那么,网银的安全保障措施是什么呢?第一层安全措施——密码保护在使用网银进行操作时,首先要经过密码验证,这是最基础的安全措施。
用户必须设置一个复杂度较高、独特性较强的密码,且必须定期更改密码以保持安全性。
同时,在输入密码时,系统会对密码进行加密处理,保证密码不会被非法破解。
第二层安全措施——手机验证码为了防止恶意攻击者使用其他人的账号进行支付等操作,网银通常会通过手机短信发送验证码进行验证。
用户在操作时需要先绑定手机号码,然后在进行某些敏感操作时,在输入密码后,需要输入接收到的验证码才能完成操作。
第三层安全措施——安全令牌对于一些较高安全级别的账户,可能会采用安全令牌来加固安全性。
安全令牌通常是一种外形类似于U盾的设备,其内部包含了一种无法预测且单次有效的身份认证码,用户在进行操作时需要先插入该设备以生成认证码,在输入密码和验证码后,还需要输入该认证码才能完成操作。
第四层安全措施——防欺诈系统除了上述措施外,银行还会采用一些防欺诈系统来识别和防止一些常见的网络攻击手段,如钓鱼网站、恶意软件等。
这些系统能够从访问者的IP地址、设备信息、历史操作记录等方面进行分析,来判断是否是正常访问者,从而加强网银的安全性。
第五层安全措施——数据加密为了保护用户的隐私数据,网银系统采用了数据加密技术。
在用户操作时,所有的数据都会被加密处理,保证数据在传输过程中不被窃取或者篡改。
而且,银行会定期对加密技术进行更新,以增强网银的安全性。
总的来说,作为一种重要的网络支付方式,网银采用了多重安全措施来保障用户的资金安全。
但同时,用户自身也应该注意相关的安全措施,如经常更改密码、不随便在公共网络进行网银操作等,才能更好地保护自己的网银账户安全。
安全常识之建设银行网上银行的安全措施
安全常识之建设银行网上银行的安全措施随着互联网技术的发展,越来越多的人开始使用网上银行进行日常银行业务的管理,在方便用户的同时,也给网络安全带来了新的挑战。
建设银行作为国内大型银行之一,重视客户信息的安全,从技术、管理等多方面加强了网上银行的安全措施,保障客户的利益和数据的安全。
本文将介绍建设银行网上银行的安全措施。
1. 登录验证建设银行网上银行提供了多种登录验证方式,包括密码登录、动态口令、手机验证码等。
用户可以根据自己的喜好和安全需求选择适合自己的验证方式,保障账户的安全。
建议用户在登录时选择较高安全等级的验证方式,避免账户被他人恶意盗用。
2. 安全加密建设银行采用了国际标准的SSL加密传输协议,在数据传输时使用了128位的高强度加密算法,保障用户信息的安全。
同时,在用户填写表单等环节,建设银行还采用了防抄袭技术,防止黑客通过复制表单来获取用户信息。
3. 金融安全模块建设银行网上银行还增加了金融安全模块,该模块主要是针对用户的交易行为进行一系列的安全防护和审核。
通过对用户账户的支付行为进行多方面的验证,确保账户资产安全和合法。
例如,当用户在新的设备或新的地点登录账号后,系统会提示用户需要进行额外的身份验证等安全措施。
4. 安全提醒建设银行网上银行还设置了安全提醒功能,在用户登录后会自动弹出相关的安全提示,提醒用户注意账户安全。
同时,建设银行还会不定期发布一些安全风险预警等信息,提醒用户加强账户的安全防护意识。
5. 安全管理除了技术措施之外,建设银行网上银行还配备了专业的安全管理团队,负责对用户账户信息的安全进行监控与防护。
当有风险事件发生时,安全管理团队会密切关注,并采取必要的措施保障客户利益和网络安全。
总结建设银行网上银行采用了多种安全措施,保障用户账户资产和信息的安全。
建议用户选择合适的验证方式,加强账户安全意识,不要轻信陌生人的信息,谨防诈骗。
同时,建议用户定期修改登录密码和支付密码等敏感信息,避免被黑客利用。
建设银行网上银行的安全措施
建设银行网上银行的安全措施安全是我行网上银行应用的关键和核心。
为了能让您安全、放心地使用网上银行,我行制定了八大安全策略,以全面保护您的信息资料与资金的安全。
1.短信服务我行网上银行提供了从登陆、查询、交易、直到退出的每一个环节的短信提醒服务,您可以直接通过网上银行捆绑其手机,随时掌握网上银行使用情况。
2.加强证书存贮安全我行网上银行系统支持网银盾证书功能。
网银盾具有安全性、移动性、使用的方便性,我行在推广网银盾证书的时候,考虑到客户的需求,在网银盾款式、附加功能上进行了创新,使我行的网银盾更具吸引力。
为保证您的资金安全,请用完后立即拔下网银盾。
3.动态口令卡我行网上银行除了向客户提供证书保护模式外,还推出了动态口令卡,可以免除了您携带证书和使用证书的不便,动态口令卡样式轻小、安全性高。
4.先进技术的保障中国建设银行网上银行系统采用了严格的安全性设计,通过密码校验、CA证书、SSL(加密套接字层协议)加密和服务器方的反黑客软件等多种方式来保证客户信息安全。
5.双密码控制,并设定了密码安全强度网上银行系统采取登录密码和交易密码两种控制,并对密码错误次数进行了限制,超出限制次数,使用者当日即无法进行登录。
在您首次登录网上银行时,系统将引导您设置交易密码,并对密码强度进行了检测,拒绝使用简单密码,有利于提高您使用账户的安全性。
在系统登录时,我们为您提供了附加码和密码小键盘等服务,避免泄露您的信息。
6.交易限额控制网上银行系统对各类资金交易均设定了交易限额,以进一步保证您账户资金的安全。
附:中国建设银行网上银行交易限额表7.信息提示,增加透明度在网上银行操作过程中,您提交的交易信息及各类出错信息都会清晰地显示在浏览器屏幕上,让您清楚地了解该笔交易的详细信息。
在转账交易要求您输入转账交易附加码,并提示您核实转账信息。
8.客户端密码安全检测我行网上银行系统提供了对您的客户端密码安全检测,能自动评估您设置的网上银行密码安全程度,并给予您必要的风险警告,有助于提高您在使用网上银行时的安全性。
银行业网上银行安全风险及防范措施
银行业网上银行安全风险及防范措施一、引言随着互联网技术的发展,网上银行已成为现代人日常生活中重要的金融服务方式。
然而,网上银行所带来的方便与快捷也伴随着安全风险。
本文旨在分析银行业网上银行的安全风险,并提出相应的防范措施。
二、网上银行的安全风险1. 黑客攻击黑客攻击是指黑客通过各种手段侵入系统,窃取用户信息和资金等敏感数据的行为。
钓鱼邮件、木马病毒以及网络钓鱼等手段成为黑客进行攻击的常用方式。
2. 病毒和恶意软件病毒和恶意软件是试图获取用户个人敏感信息或直接篡改账户数据并导致资金损失的主要威胁之一。
这类软件往往伪装成合法程序,悄无声息地在用户电脑中运行。
3. 数据泄露数据泄露是指银行业网上银行系统中存储或处理的用户信息被非法获取和利用的情况。
这些信息包括但不限于银行账户信息、身份证号码、手机号码等,一旦泄露,将对用户造成严重的财产和个人隐私损失。
三、防范措施为了保障用户的财产安全和个人隐私,银行业需要采取一系列防范措施来减少网上银行安全风险。
1. 强化身份验证在进行网上银行交易时,使用传统单一密码认证是不够安全的。
应引入双因素身份验证机制,结合密码和动态口令、指纹或生物特征等身份认证方式,以提高账户的安全性。
2. 提供客户教育银行业需要加强对用户的教育宣传工作,提高用户对网上银行安全风险的意识。
通过举办网络安全讲座、发布网络安全知识等方式,帮助用户了解常见网络欺诈手段,并学会自我保护。
3. 定期检测与更新软件银行业应定期检测网站系统和移动应用程序中的漏洞,并及时进行补丁更新以修复这些漏洞。
此外,在系统中部署有效反病毒软件和防火墙,以提升防护效果,并保障用户的数据安全。
4. 加密通讯与交易数据为了保证网上银行传输过程中的安全性,应采用HTTPS等安全协议对通信数据进行加密。
同时,在存储用户敏感信息时也应使用加密技术,确保用户数据不会在被非法获取后暴露。
5. 建立风险监测系统银行业需要建立完善的风险监测系统,并通过自动化监控和实时报警等手段迅速发现异常交易和恶意攻击。
陕西电大《电子支付与安全》形成性考核四
试卷总分:100 得分:100
1.“支付”过程要确保支付()的生成、确认和传输。
A.密码
B.指令
C.任务
D.金额
【答案】:B
2.电子支付工具即是()的载体。
A.现金
B.交易金额
C.电子数据
D.电子货币
【答案】:D
3.不同性质的经济活动决定了支付活动的参与主体的不同。
()决定了参与主体间属于信用的金融类型。
A.借贷活动
B.商务活动
C.馈赠活动
D.国家财政分配
【答案】:A
4.电子支付较传统支付有其自身的特点,然而(),仍被视为制约电子支付行业发展的“软肋”。
A.支付工具
B.行业竞争
C.电子商务的发展
D.安全问题
【答案】:D
5.2006年2月,银监会颁布了()在一定程度上对电子银行的业务安全、风险管理、风险控制、安全控制提供了一定标准。
A.《电子银行业务管理办法》
B.《支付清算组织管理办法》
C.《电子支付指引》
D.《关于加快我国电了商务发展的若干意见》
【答案】:A
6.对称加密形式只是解决了信息的机密性,但不能对()进行认证,这就避免不了欺诈现象的出现。
A.密码
B.用户的身份。
网络银行为保障银行账户交易安全采取措施手段有哪些
保障银行账户交易安全采取措施(1)短信服务网上银行提供了从登陆、查询、交易、直到退出的每一个环节的短信提醒服务,客户可以直接通过网上银行捆绑其手机,随时掌握网上银行使用情况。
(2)加强证书存贮安全网上银行系统可支持USBkey证书功能,USBkey具有安全性、移动性、使用的方便性,我行在推广USBkey证书的时候,考虑到客户的需求,在USBkey 款式、附加功能上进行了创新,使我行的USBkey相比其他行更具吸引力。
(3)动态口令卡我行网上银行除了向客户提供证书保护模式外,还推出了动态口令卡,可以免除了您携带证书和使用证书的不便,动态口令卡样式轻小、安全性高。
(4)先进技术的保障中国建设银行网上银行系统采用了严格的安全性设计,通过密码校验、CA 证书、SSL(加密套接字层协议)加密和服务器方的反黑客软件等多种方式来保证客户信息安全。
(5)双密码控制,并设定了密码安全强度网上银行系统采取登录密码和交易密码两种控制,并对密码错误次数进行了限制,超出限制次数,客户当日即无法进行登录。
在客户首次登录网上银行时,系统将强制要求您修改在柜台签约时预留的登录密码,并对密码强度进行了检测,要求客户不能使用简单密码,有利于提高客户端的安全性。
(6)交易限额控制网上银行系统对各类资金交易均设定了交易限额,以进一步保证客户资金的安全。
(7)信息提示,增加透明度在网上银行操作过程中,客户提交的交易信息及各类出错信息都会清晰地显示在浏览器屏幕上,让客户清楚地了解该笔交易的详细信息。
(8)客户端密码安全检测我行网上银行系统提供了客户端密码安全检测,能自动评估网上银行客户密码安全程度,并给予客户必要的风险警告,有助于提高客户安全意识。
下面资料为赠送的地产广告语不需要的下载后可以编辑删除就可以,谢谢选择,祝您工作顺利,生活愉快!地产广告语1、让世界向往的故乡2、某沿河楼盘:生活,在水岸停泊3、一江春水一种人生4、某钱塘江边楼盘:面对潮流经典依旧5、海景房:站在家里,海是美景;站在海上,家是美景6、以山水为卖点的楼盘:山水是真正的不动产7、某城区的山腰上的楼盘:凌驾尊贵俯瞰繁华8、某地势较高的楼盘:高人,只住有高度的房子9、某学区房:不要让孩子输在起跑线上10、尾盘:最后,最珍贵11、回家就是度假的生活12、生命就该浪费在美好的事情上我们造城——2、我的工作就是享受生活——3、我家的客厅,就是我的生活名片——4、在自己的阳台看上海的未来——5、公园不在我家里我家住在公园里——6、这里的花园没有四季——7、***,装饰城市的风景——8、***,我把天空搬回家——9、房在林中,人在树下——10、生活,就是居住在别人的爱慕里——11、到〖星河湾〗看看好房子的标准——12、好生活在〖珠江〗——13、爱家的男人住〖百合〗城市岸泊:城市的岸泊,生活的小镇生活之美不缺少,在于发现情趣不在于奢华,在于精彩生活有了美感才值得思考……玫瑰庄园:山地生态,健康人生卓越地段,超大社区一种完整且完善的环境,像原生一样和谐原生景象自然天成人本理念精品建筑知名物业智能安防诚信为本实力铸造比华利山庄:海岸生活——引领世界的生活方式海岸生活——22公里的奢华海岸生活——高尚人生的序曲海岸生活——人与自然的融合苹果二十二院街:人文自然现代铺的蔓伸荣和山水美地:让世界向往的故乡香港时代:时代精英开拓未来领衔建筑,彰显尊贵绿地崴廉公寓:金桥40万平方米德国音乐艺术生活汇都国际:昆明都心,城市引擎财富之都风情之都梦幻之都文化之都商贸之都西部首座巨型商业之城颠峰商圈的原动力,缔造西部财富新领地新江湾城:绿色生态港国际智慧城新江湾城,一座承载上海新梦想的城区上海城投,全心以赴建设知识型,生态型花园城区风和日丽:入住准现楼,升值在望湾区大户,空中花园大格局下的西海岸市中心:市中心少数人的专属颠峰珍贵市中心的稀世名宅正中心城市颠峰领地颠峰勾勒稀世名宅繁华不落幕的居家风景地利皇者尽得先机稀世经典180席阳光国际公寓:阳光金桥来自纽约的生活蓝本钟宅湾:海峡西岸生态人居休闲商务区汇聚国际财富与人居梦想的绝版宝地二十一世纪是城市的世纪,二十一世纪也是海洋的世纪谁控制了海洋,谁就控制了一切站在蓝色海岸的前沿,开启一个新的地产时代东南门户海湾之心海峡西岸生态人居休闲商务区让所有财富的目光聚集钟宅湾,这里每一天都在创造历史上海A座(科维大厦):创富人生的黄金眼掘金上海!创富人生!远东大厦:花小公司的钱,做大公司的事未来城:无可挑战的优势无可限量的空间绿地集团:居住问题的答疑者,舒适生活的提案人茶马驿栈:精明置业时机享受附加值财富最大化雪山下的世外桃源茶马古道上千年清泉之乡金地格林春岸:城市精英的梦想家园繁华与宁静共存,阔绰身份不显自露建筑覆盖率仅20%,令视野更为广阔占据最佳景观位置,用高度提炼生活完美演绎自然精髓,谱写古城新篇章创新房型推陈出新,阔气空间彰显不凡365天的贴身护卫,阔度管理以您为尊金地格林小城:心没有界限,身没有界限春光永驻童话之城我的家,我的天下东渡国际:梦想建筑,建筑梦想齐鲁置业:传承经典,创新生活比天空更宽广的是人的思想创新远见生活嘉德中央公园:一群绝不妥协的居住理想家完成一座改变你对住宅想象的超越作品极至的资源整合丰富住家的生活内涵苛求的建造细节提升住家的生活品质地段优势,就是永恒价值优势设计优势,就是生活质量优势景观优势,就是生命健康优势管理优势,就是生活品味优势空中华尔兹:自然而来的气质,华尔兹的生活等级享受,没有不可逾越的极限所谓完美的习惯,是舒适空间的心情定格!临江花园:经典生活品质风景中的舞台美林别墅:源欧美经典纯自然空间住原味别墅赏园林艺术淡雅怡景温馨自然钱江时代:核心时代,核心生活核心位置创意空间优雅规划人文景观财富未来城市精神,自然风景,渗透私人空间泰达时尚广场:是球场更是剧场城市经济活力源时尚天津水舞中国未来都会休闲之居创意时尚天天嘉年华健康快乐新境界商旅新天地缔造好生意城市运营战略联盟,参与协作,多方共赢华龙碧水豪园:浪漫一次,相守一生东方莱茵:品鉴品位宜家宜人建筑一道贵族色彩品鉴一方美学空间品位一份怡然自得荡漾一股生命活力坐拥一处旺地静宅体会一种尊崇感受常青花园(新康苑):新康苑生活感受凌驾常规大非凡生活领域成功人士的生活礼遇拥有与自己身份地位相等的花园社区在属于自己的宴会餐厅里会宾邀朋只与自己品味爱好相同的成功人士为邻孩子的起步就与优越同步酒店式物管礼遇拥有[一屋两公园前后是氧吧]的美极环境水木清华:住在你心里福星惠誉(金色华府):金色华府,市府街才智名门——释放生命的金色魅力真正了解一个人,要看他的朋友,看他的对手。
银行动态口令
银行动态口令
随着互联网金融的快速发展,银行越来越重视客户信息安全,为了保障客户的资金安全,银行采用了多种安全措施,其中动态口令是一种非常重要的安全措施。
什么是动态口令?
动态口令是指每次使用都会改变的一种口令,一般由银行随机生成,客户在登录时需要输入正确的动态口令才能完成交易。
动态口令是一种基于时间的安全验证方式,每隔一段时间会自动更换,有效保障了客户的账户安全。
动态口令的优势
动态口令相对于静态口令更加安全可靠。
静态口令是指固定的密码,容易被攻击者破解,而动态口令由于每次使用都会改变,攻击者很难破解。
此外,动态口令的有效时间只有几十秒钟,有效期过后就会失效,更加保障了客户的账户安全。
如何使用动态口令?
客户在注册银行网银时,需要设置动态口令,银行系统会随机生成口令,客户需要在下次登录时输入该口令。
动态口令可以通过短信、手机APP等方式获取,客户需要注意保管好自己的手机和APP,避免被他人盗用。
动态口令的注意事项
1.客户需要定期更换动态口令,避免使用过期口令。
2.客户需要保管好自己的手机和APP,避免被他人盗用。
3.客户需要避免在公共场合使用动态口令,避免被他人偷窥。
总结
动态口令是银行保障客户信息安全的重要措施,客户在使用时需要注意保管好自己的手机和APP,避免被他人盗用。
同时,客户需要定期更换动态口令,避免使用过期口令。
银行也需要不断加强技术防范,保障客户的账户安全。
网上银行登录安全控件
网上银行登录安全控件网上银行登录安全控件是一种保障用户账户安全的重要工具。
它常被用于网上银行登录页面,通过增加安全控制步骤,确保只有合法用户能够登录并进行相关操作。
首先,网上银行登录安全控件采用了多层次的身份验证机制。
在用户输入账号和密码之后,安全控件会要求用户输入动态口令。
这个动态口令通常通过手机短信、邮箱或者指纹识别等方式生成。
这种方式有效地保护了用户账户的登录安全。
其次,网上银行登录安全控件还会使用加密技术对用户的输入进行加密处理。
这样,在用户的账号密码传输过程中,黑客无法直接获取用户的敏感信息。
网上银行登录安全控件会使用先进的加密算法,如SSL/TLS协议,确保用户的数据在传输过程中不被篡改或窃取。
此外,网上银行登录安全控件还会对用户的设备进行安全检测,以防止用户设备上存在病毒、木马等恶意软件。
安全控件会对用户设备的操作系统、浏览器等进行检查,确保用户设备的安全性。
如果发现用户设备存在安全隐患,安全控件会给予警告并阻止用户登录。
网上银行登录安全控件还会主动监测用户账户的异常操作行为。
如果用户的操作与常规操作有较大差异,安全控件会判断为风险行为,并主动拦截用户登录请求。
这种方法有效地防止了黑客利用盗取用户账户信息进行非法操作。
最后,网上银行登录安全控件具备自动更新功能。
随着网络环境和黑客技术的不断进化,安全控件需要不断升级以应对新的威胁。
因此,安全控件会定期自动更新,确保其能够及时识别并防范新的安全威胁。
综上所述,网上银行登录安全控件采用多种技术手段,从身份验证、加密传输、设备安全、异常行为监测等方面,确保了用户账户的登录安全。
用户在使用网上银行时,应当保持安全意识,定期更新操作系统和浏览器,避免使用不安全的WiFi等网络环境,并合理管理自己的登录密码和动态口令,以最大程度地保障个人账户的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
动态口令不能保证网上银行的安全自从十年前招商银行首次推出网上银行(以下简称网银)服务以来,网银已经迅速普及成为各银行必备的服务之一。
然而,网银在给我们带来极大便利的同时,也带来很高的交易风险。
随着网银普及率越来越高,与网银有关的安全问题开始引起人们关注,甚至有部分银行用户因为担心网银系统的安全而拒绝使用网银。
这种不信任的心态,已经成为阻碍网银业务进一步扩展的最大瓶颈。
为了进一步推广网上银行的使用,银行一直致力于寻找更安全的技术来保障用户的账户安全。
近几年,动态口令 (One Time Password,OTP)技术被越来越多的银行用来提高网银系统的安全性。
但是,动态口令能保护我们的账户安全吗?网银的安全漏洞在哪里?到底应该如何保证网银的安全?被打开的潘多拉魔盒网银的出现使我们在家动动指头就可以完成过去需要到柜台排队才能完成的事情,既方便了普通用户也大大提高了金融机构的运作效率,削减了其运作成本。
但是,凡事有利就有弊,网银同样逃脱不了网络普遍面临的安全威胁。
从网银业务开通伊始,网银大盗就如影随形,如苍蝇般紧紧盯上了这颗有缝的“鸡蛋”,那些麻烦有如打开了潘多拉魔盒一样纷拥而至。
1.“钓鱼”网站。
所谓“钓鱼”,即通过邮件或其他方式,诱骗用户登录到酷似银行官方网站的虚假网站,并诱使用户输入认证信息,从而间接获取用户的登录认证信息。
瑞典Nordea银行就曾经成为这种方法的攻击目标之一,短短15个月就损失上百万美元。
2. 键盘记录。
键盘记录,即通过木马监视用户正在操作的窗口,如果发现用户正在访问某网银系统的登录页面,就开始记录所有从键盘输入的内容。
例如,“网银大盗Ⅱ”木马就是典型例子,它把几乎所有的国内网银系统都列为盗窃的目标。
3.嵌入浏览器。
这种技术主要通过嵌入浏览器进程中的恶意代码来获取用户当前访问的页面地址和页面内容,并且在用户数据(包括账号密码)以SSL安全加密方式发送出去之前获取它们。
例如,“网银大盗”木马监测到用户正在访问某个引用了安全登录控件的地址时,就会让浏览器自动跳转到另外一个网页。
用户输入认证信息并通过验证后,木马就等在那里,盗取用户资金。
4.窃取文件数字证书数字证书是网银交易的一项重要安全保护措施。
有些银行使用文件证书,允许用户保存至硬盘,这是一个安全隐患。
“网银大盗”及其变种“灰鸽子”,就窃取用户计算机内的所有文件,包括安装在计算机上的网银文件数字证书,并且能够准确识别网银流程的每个步骤,自动记录必要的数据,最终再复制一份证书文件。
从而,利用盗取的证书和其他必要信息达到非法使用证书的最终目的。
以上只是列举了网银大盗攻击的常用手段。
实际上,随着网银业务的不断普及、深入和扩展,越来越多的新业务形式(如手机银行)涌现,网银大盗们总是步步紧追,各种新的、复杂的攻击技术就如同被打开的潘多拉魔盒,层出不穷,让人防不胜防。
“鸡蛋”上的“缝”大家都知道,网上银行是银行业务利用Internet作为业务提交渠道,通过网关衍生到互联网上的每一个终端用户(企业或者个人用户)。
由此可看出,网银系统可分为银行服务器、网络、客户端三部分。
从刚才列举的攻击手段来看,主要是钓鱼诈骗和木马移植,而攻击对象也集中在银行服务器和客户端。
据中科院安全专家李德全博士分析,之所以网络较少被攻击,是因为“网络层面的安全性比较容易解决,比如通过加密,通过证书认证,网络上的窃听者和伪造者可以被有效地拒之门外,所以问题主要出在两个端点,即用户、商家(银行)两个环节。
”因此,用户和商家(银行)就成为网银对抗“网银大盗”攻击最前沿、最重要的阵地。
近年来网银安全事故时常发生,而中国各大银行也不断对自身系统进行升级,服务器端的安全性极高,很少被大盗直接攻破。
而大盗们更多地将视线集中在数量众多但信息安全意识良莠不齐的用户(客户端)这里。
而用户的身份认证——唯一需要用户操作的地方,就成了网银这颗“鸡蛋”上的缝,受到众大盗们的频频“青睐”。
如何弥补这条“缝”?2007年中,银监办发布[2007]134号通告,通知各商业银行对所有网上银行高风险账户操作统一使用双重身份认证。
动态口令(OTP)也因此逐渐走入公众视线,被银行大力推荐。
什么是动态口令动态口令,又叫动态令牌、动态密码。
它的主要原理是:用户登录前,依据用户私人身份信息,并引入随机数产生随机变化的口令,使每次登录过程中传送的口令信息都不同,以提高登录过程中用户身份认证的安全性。
过程如下:登录前,首先产生登录用的动态口令,然后通过网络将动态口令传输给认证系统,认证系统收到动态口令后进行验算以验证用户合法性,当动态口令与验算口令一致后即认为用户是合法的。
银行通常提供给用户两种动态口令:一种是固定数量的动态口令,最常见的就是刮刮卡,每次根据银行提示,刮开卡上相应区域的涂层,即可获得一个口令。
刮刮卡成本低廉,使用方法简单,因此很多银行采用这种方法,如工商银行;另一种是硬件形式的动态口令,即电子令牌,它采用专用硬件,每次可以用自带的密码生成芯片得到一个当前可用的一次性动态密码。
交通银行等就采用这种方式。
一般来讲,每个客户端的电子令牌都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时令牌与服务器分别根据同样的密钥,同样的随机数和同样的算法计算出认证时的动态口令,从而确保口令的一致性和认证的成功。
因每次认证时,随机数的参数不同,所以每次产生的动态口令也不同。
每次计算时参数的随机性保证了每次口令不可预测,保证系统安全。
这些随机数是怎样产生的呢?动态口令随机数分为以下几类:1.口令序列:口令为一个单向的前后相关的序列,系统只用记录第N个口令。
用户用第N—1个口令登录时,系统用单向算法算出第N个口令与自己保存的第N 个口令匹配,以判断用户的合法性。
由于N是有限的,用户登录N次后必须重新初始化口令序列。
2.时间同步:以用户登录时间作为随机因素。
这种方式对双方的时间准确度要求较高,一般采取以分钟为时间单位的折中办法。
在这种动态口令中,对时间误差的容忍可达±1分钟。
3.事件同步:通过某一特定的事件次序及相同的种子值作为输入,使用相同的算法运算出一致的密码,其运算机理决定了其整个工作流程同时钟无关,不受时钟的影响。
它节省了用户每次输入挑战信息的麻烦,但当用户的挑战序列与服务器产生偏差后,需要重新同步。
4.挑战/应答:也叫异步认证方式。
它比时间/事件同步方式操作相对繁琐,实现相对复杂,一般用于对安全性要求更高的场合,比如登陆网上银行等,需要附加认证的情形。
当用户需要访问系统时,远程认证服务器根据用户的电子令牌资料产生一个随机的数字串,即“挑战码”,用户将该数字串输入到电子令牌中。
电子令牌利用内置的种子密钥和算法计算出相应的应答数(通常也是一个数字串)。
用户将该应答数输入系统。
系统根据所保存的该用户相应电子令牌信息(种子密钥和算法)计算出应答数,并与用户输入的应答数进行比较。
如果两者相同,则认证通过。
由于每个电子令牌的种子密钥不同,因此不同用户的电子令牌对同样的挑战数计算出应答数也并不相同。
只有用户持有指定的电子令牌才能计算出正确的应答数以通过系统认证。
从而可以保证该用户是持有指定电子令牌的合法用户。
由于口令每次都变化,即使得到密码也没用,而且这种动态口令由专用算法生成,随机性高,不太容易被破解。
因此,传统的木马程序,即使窃取到用户个人信息,拿去登录银行网页,也已经过期。
因此,动态口令极大地提高了用户身份认证的安全性。
动态口令能保护账户安全吗?自从采用动态口令技术后,人们不用再费力记密码,也不需要担心木马攻击了。
但是,动态口令能像我们希望的那样,为网银的安全提供保障吗?实际上,随着动态口令的普及,它的缺陷也越来越突出地暴露在大家面前,例如“刮刮卡”,因为它的口令数量固定,除去需定期更换的不便外,更重要的是它的安全隐患:如果长时间收集信息,就有可能收集齐所有动态口令,完全破解这种刮刮卡形式的动态口令,甚至复制或窃取那张小纸片,也可以冒用用户的身份信息。
而就电子令牌而言,为挑战电子令牌,大盗们也在孜孜不倦地追求更高的攻击技术,他们已不满足于传统“暴力”式的破解,一种称为“中间人钓鱼”的技术逐渐进入人们视线,而花旗银行已经成为这种攻击手段的目标之一。
我们前面曾讲到“钓鱼”网站,而这种技术就是“钓鱼”的升级版。
据报道,大盗使用一种能够拷贝现有银行网站的网页“钓鱼”攻击工具,先注册一个伪造域名,然后把这个域名和真实站点的URL网址插入软件的管理控制面板。
该工具接下来就可以和目标IP地址进行实时通信,并且采用代理把内容从合法的站点重新指向伪造的URL地址。
当用户在与自己银行的真实内容进行交互时,这些内容就已经增加了欺诈的成分。
伪造的URL地址潜伏在个人用户和目标之间,并且捕捉所有用户和被攻击服务器之间的数据,而用户很难识别这种攻击。
等用户发现账户资金异常时,大盗早已逃之夭夭。
为什么使用一次性口令的方法仍然不能有效地防止攻击呢?从网银交易过程来看,动态口令仅对用户身份进行认证,而没有对交易过程进行验证。
待用户身份确定之后,“中间人”便拦截用户的转账操作,篡改数据后发送给服务器,而服务器没有办法区分给它发出转账指令的是用户还是木马,直接执行了转账,“中间人”再把服务器返回的信息篡改后显示给用户。
这样,“中间人”就轻而易举地绕过动态口令,获取用户的个人认证信息,完全控制了这次交易。
而动态口令也就成为一个“形同虚设”的“保镖”,无法真正保护用户账户的安全。
而实际发生的一系列案例,也证明了动态口令无法锁牢用户的账户。
另外,动态口令通常使用对称式密钥技术,在银行服务器端的认证系统里,可以计算出所有动态密码。
因此,仅仅使用动态口令无法支持电子签名和公钥计算,也就无法参与到交易过程中进行保护,更谈不上实现“不可抵赖性”。
真正的“防盗门”中国金融认证中心总经理李晓峰先生认为:完成一个安全交易,在应用层面上必须保证交易双方不仅要有身份认证,要有保密、完整、未被篡改的数据,还需要保证这个交易是不可抵赖的,一旦与银行出现交易纠纷,这些都是必需的法律依据。
因此,网银必须具备真正可靠的法律上认可的电子签名和证书,这才是问题的最终解决办法。
同样是使用双重身份认证技术,带有智能卡芯片的USB KEY数字证书因采用了公钥体系(PKI),支持电子签名,它的安全性更高。
USB KEY的防范本质在于它的数字证书能够真正保护交易过程,而不仅仅在于交易开始阶段的身份认证。
相比动态口令技术,单独存放在USB KEY数字证书内部的密钥在交易过程中,都会参与交易内容的计算,比如加密和签名等操作。
由于USB KEY是单独的硬件设备,而新一代的USB KEY还添加了交易认证技术,使得网络钓鱼攻击者也就无法伪造用户签名,冒充用户登录服务器,也无法篡改用户的交易数据,从而抵抗类似“交易伪造”或“交易劫持”等针对交易而不是针对身份的攻击。