网上银行身份认证设备问题

经营管理

网上银行身份认证设备问题及防范措施

郑松杰

（广东省高级技工学校，广东 惠州

516100）

【摘

要】通过对国有五大商业银行和招商银行的网上银行身份认证方案进行深入学习，指出现有网上银行身份认证设备存 在的问题，并提出现在和未来安全的网上银行身份认证方案及防范措施。

【关键词】网上银行；身份认证；防范措施

我国现阶段的网上银行指银行通过信息网络提供的金融 服务。网上银行支付在中国从 1998 年第一笔 300 元的订单，到 2010 年的 10858 亿元的网上支付交易额，飞速发展，正在广泛 地渗透到人们生活的方方面面。尽管各家银行不断对其网上银 行进行升级，但网上银行盗诈事件仍时有发生。盗诈背后，笔者 认为银行应负主要责任，因为网上银行的身份认证和银行的服 务意识存在问题，其次责任是用户的使用习惯。

一、网上银行身份认证设备存在的问题

1．静态密码技术。银行登录方式分两种，一种是采用“卡 号＋密码”的方式登录，此类技术代表为网上个人银行大众版， 卡号、密码的保管非常重要，如果卡号和密码不慎被他人取得， 他人即可通过网上银行大众版通过转账、网上支付卡转账等方 式窃取客户账户资金。另一种是采用“用户名 ＋ 登录密码”的方 式登录，此种方式较为安全，在安全设计上有考虑到用户的需 要，既满足了用户查询相关信息的需要，又保证了用户资料的 安全，同时把查询和支付、转账等业务分开，增加安全系数。

2．动态口令卡、动态口令牌、手机动态口令。电子口令卡 是指以矩阵形式印有若干字符串的卡片，每个字符串对应一个 唯一的坐标。使用电子银行口令卡会存在卡片丢失或被窥视、 拍照、复印等非技术风险；动态口令牌是一种内置电源、密码生 成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态 口令的专用硬件。2011 年 1 月以来，国内多省市发生以“E 令 卡网上银行升级”为名，通过手机短信和制作克隆网站实施诈 骗的案件。手机动态口令是利用手机作为随机密码生成或者接 受终端，用户在登录应用系统时候，输入手机上的生成或者接 收到的密码不停变化的随机密码，但是手机的缺点是容易被监 听，被犯罪分子截取密码。

3．证书用户。目前网上银行应用最普遍的基于 P KI 体系 的数字签名产品是 USBKEY ，它是一种 USB 接口的硬件设备， 内置国密安全芯片，有一定的存储空间，可以存储用户的私钥 以及数字证书，利用 USB Key 内置的公钥算法实现对用户身份 的认证。第一代 USBKEY 产品解决了用户私有信息的传输安 全问题，有效预防了基于钓鱼网站的诈骗事件的发生。但是在

1．认证方案。在现在的三种认证方案中，可以说没有哪一 种是绝对的安全。在网银发展的初期，以市场推广为主要诉求， 以方便性和高性价比来满足市场初期需要，对系统需求和身份 认证机制的安全性放在第二位来考虑，因此首先出现的是基于 静态密码的大众版网上银行。然而随着利用钓鱼网站进行诈骗 事件的逐渐增多，国内众多商业银行的身份认证产品开始转向 推广更加安全的 USBKEY 电子签名设备。但是随着骗签事件 的增多，网上银行何去何从？借鉴国内最好的网上第三方支付 “支付宝”的身份认证解决方案，本人认为在现阶段，网上银行 应该使用 USBKEY+ 手机短信检验码的认证方式，每一笔网上 交易需要登录密码 + 支付密码 +U 盾 +U 盾密码 + 手机短信检 验码完成，非常安全。在未来的网上银行身份认证发展中，可能 会用到指纹液晶 KEY 方案，用指纹液晶 KEY 登陆网银是在 KEY 上进行指纹认证以代替从电脑键盘输入 PIN 码，并在 KEY 上显示交易信息，从物理上彻底杜绝黑客攻击的途径，从 而有效防止网站钓鱼、远程挟持、信息篡改、骗签等安全隐患。

2．防范措施。银行应该增强服务意识，出现问题后，不要 总是把问题都推到用户身上，应该多想想银行本身的问题，应 该多做一些事情服务好用户。例如对于 USB Key 骗签事件，银 行应该在用户进行每一笔网上交易中给予适当的提示，在需要 插入 USB Key 时，弹出对话框提示用户插入，在完成交易后，马 上弹出一个对话框，提示用户已经完成交易，请及时拔走 USB Key ，这样做相信骗签事件发生的机率会很低。目前广大网民对 电子支付和网上银行市场的认知程度还很有限，银行在对用户 进行网上银行安全的宣传、推广和教育上应承担相应责任。例 如本人作为工商银行 U 盾客户已经有 6 年时间，在撰写本论文 时查阅大量资料，发现原来工商银行早在 2008 年就已经提供 USBKEY+ 手机动态检验码的认证方式，但是本人及周围对网 上银行安全性要求较高的用户都不知情。首先应该选择一种安 全的支付方式，宁愿多支付安全成本，保证资金安全，也不选择 安全性不好的支付方式，同时应该增强网上支付安全意识，培 养良好的网上支付习惯。

交换操作方面还存在隐患，当用户长时间插入 USBKEY 时，黑 参

考

文

献

客可以通过木马截获 PIN 码，远程控制，冒用客户的 USB Key 进行身份认证，发生骗签事件。

二、网上银行身份认证方案及防范措施

[1]支付宝安全中心．https ：//securitycenter ．alipay ．com/sc/index ．htm [2]工商银行安全提示．https ：//mybank ． ．cn/icbc/perbank/in- dex ．jsp

企业导报 2011 年第 9 期

81