|
||||
凭借办理金融业务的便捷性,网上银行已经被越来越多的银行客户采用。然而,网上银行的安全性却始终让不少银行客户心有余悸。调查显示,目前“网银的安全性能”超过了“选择网银主要根据原来的开户行而定”,成为用户选择网银考虑因素的第一位,有银行甚至推出8项防范措施来保证网银的安全。那么,在银行不断提高网银自身安全措施的同时,作为用户,该如何打好网银安全保卫战?本期专题我们将为读者介绍目前市场中较为全面的网银安全保护工具和保护措施,并为读者演示如何利用好这些工具。
风险防范银行各出奇招
目前,国内各大银行都已经采取多重手段来防范网银风险,综合来看,保护网银安全的手段不下10种,各银行采取的手段不尽相同,可以说各出奇招。多数银行采用了双重身份认证系统。例如,工商银行、建设银行、招商银行、交通银行都采用USB硬件数字证书的方式来确保高风险转账交易的安全,这也是当前各大银行普遍采用的措施。而农行采用了动态口令卡,中行则在近期将其网银全面升级,并在国内首家全面采用了动态口令牌。
其中,招商银行的数字证书认证分成硬件数字证书和软件数字证书两种,硬件网银证书只能备份在U盘、移动硬盘等设备上,这也是为了网银的安全性考虑,以防他人非法获取证书。对于软件数字证书,因为可能被U盘复制、拷贝走,存在安全问题,所以,用户最好只将软件数字证书存在自己家中专用的电脑上。而对于硬件数字证书,它同特定的U盘绑定,除非硬件U盘被盗,否则数字证书是不会被盗。
目前采用双因素动态密码保护的银行有兴业银行、中国银行等。不过,兴业银行的双因素动态密码认证,只为其外汇客户提供,外汇客户登录进“外汇宝”业务后,输入静态密码和动态密码令牌(一分钟一变),就可以安全地进行外汇交易。而中国银行提供了3道防线保证网银用户的资金安全。第一道防线是由网银用户名(6-20位数字和英文字母)和密码(8-20位数字和英文字母)组成的基础性防护;第二道防线是动态口令牌随机生成的动态口令(6位数字);第三道防线是用户使用网上银行进行他人转账、投资服务的开通,基金、国债业务的开户,代缴费、用户名/密码找回等重要交易时,须再次输入动态口令进行身份验证。据了解,动态口令牌也是目前汇丰、花旗等外资银行较多采用的网银交易工具。
建设银行除了通过USBKey、密码软件盘、个性用户名等方式防范网银风险外,其短信提醒服务可以说让用户随时掌握网银的动向。客户只要登陆建行网银,不管是否登陆成功,都会及时收到短信提醒。登陆进入之后,只要有资金变动,无论资金转移是否成功,也都会及时收到短信提醒。
相比建行,浦发银行将短信防范的作用放在前端,该行首创的手机动态密码服务更方便。当客户登录该行网银或通过网上支付系统进行金融交易时,系统随机生成并以手机短信形式发送给客户的一次性有效密码,可以有效保障客户账户和交易安全。
黑客窃取密码方式花样多
然而,尽管各家银行已经做了很多网银风险防范的工作,依然无法避免出现客户网银资金被盗的案件。近年来多家银行出现网银客户资金被盗的事件。业内人士表示,出现资金被盗的原因是多方面的,不过绝大多数还是由于客户安全防范意识淡薄,采用比较简单的密码保护措施,不慎被黑客窃取密码,进而盗取资金。
业内专家为记者介绍了目前比较常见的黑客窃取密码的方式,网银用户在以下这些方面应多加注意。如钓鱼网站,所谓“钓鱼”,即黑客首先建立一个酷似网银官方网站的假网页,用于诱骗用户输入账号密码等信息,或者包含用于种植木马的恶意脚本。向客户邮箱发送“钓鱼”邮件。一旦用户上当受骗,他们的隐私数据都会被发送到黑客那里。另一种方式是键盘记录,即通过木马监视用户正在操作的窗口,如果发现用户正在访问某网银系统的登录页面,就开始记录所有从键盘输入的内容。另外还有嵌入浏览器执bb行、屏幕“录像”、窃取数字证书文件、伪装窗口等方式,让网银用户防不胜防。
因此,专家建议,若想打好网银安全保卫战,就必须提高风险防范意识,充分了解并利用好银行提供的网银安全工具,做到知己知彼,百战不殆。
11类网银安全工具大盘点
-用户名和密码
不用多说,这是最基本的防范措施了,值得一提的是不要将密码设成容易识破的有规律性数字。
-USB Key证书
USBKey证书是目前多数中资银行采用的安全认证工具,是一种USB接口形式的硬件设备,可存放网银数字证书。内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。数字证书如果存放在浏览器(电脑硬盘)中,容易被复制、窃取,安全性差;而如果存放在USBKey中,便无法复制、导出,即使电脑中了木马病毒,也不会被窃取,安全性非常高。
-动态口令牌
动态口令牌(E-token)是一种每隔一定时间自动更新动态口令的专用硬件。与目前同业多采用的USBKey不同,动态口令牌实现了与电脑的完全物理隔离,无需安装驱动,也不需要记忆密码,使用十分简单。动态口令每60秒随机更新一次,一次有效,不可重复使用,大大提升了网上银行的安全,是目前国际上通用的较为先进的安全机制。
-动态口令卡
动态口令卡是动态口令的载体。每张动态口令卡覆盖有若干个不同的口令。您在启用动态口令卡后,进行网上银行办理转账汇款、缴费支付、网上支付等交易时,需按顺序输入动态口令卡上的密码,每个密码只可以使用一次。
-数字证书
数字证书就是一个包含个人身份信息的电子文件,证明互联网上“您是谁”,就像您的“网络身份证”。这个“网络身份证”是由一个权威的第三方安全认证机构发放的。数字证书是网银安全的根本保障,是被国内外普遍采用的一整套成熟的信息安全保护措施。软件证书直接存在电脑硬盘中,移动证书就是将证书存在移动硬盘中,即USBKey证书。
-Active X安全控件
目前大部分的银行向非证书认证用户提供的安全手段都是安装安全控件,而不同之处只是安装的方式各有特色。这种安全技术防止了键盘/消息钩子,而且使通过IE的COM接口获取密码的方法也无能为力,当控件安装完成后用户才能见到网上银行的登陆界面。不过这已被公认为很不安全的一种登陆方式,而且由于一些银行将安全技术通过ActiveX捆绑在了IE上,这给其它操作系统和非IE用户带来了一些不便。不过利用ActiveX安全控件多一层保护也不失为一个办法。
-动态软键盘
动态软键盘的好处在于:每次出现的按键键位都不一样,增加了恶意软件获取真实密码的难度。使用动态软键盘输入密码时,是使用鼠标直接在电脑屏幕上点击密码,木马程序无法监测到用户的密码输入;而且软键盘上的数字是动态显示的,每次登录时数字在软键盘上的位置显示是不同的,可以避免输入时密码被旁边的人看到。
-短信提醒
目前多数银行都向网银客户提供短信提醒服务。您可根据需要定制一系列提示信息,如网银登录提醒、网银密码连续输错提醒、转账汇款提醒等,以随时了解网银变动情况,使网上交易既轻松又安全。
-预留“欢迎信息”
您预留的“欢迎信息”是提高您对“钓鱼网站”辨别能力的一种简单有效的方法。您设置好“欢迎信息”后,在每次登录时,该信息将显示在欢迎页面上,如该网站未能正确显示您预留的欢迎信息,说明该网站不是您想登录的银行网站。
-资金限额管理
为防范风险,部分银行对不同风险级别客户限定的不同资金限额管理。如大众版网银客户,当日转账资金限额300元或0元。有的是客户自己设定每日交易资金最高限额,若需要更改这一限额,需要某些条件。这也增加了黑客盗取资金的难度,将风险控制在有限的范围内。
-会话超时
如果您在登录网银后,在一定时间内未向网银系统发送任务服务请求(包括提交交易指令、切换网银页面等),系统将自动退出网上银行服务,以避免他人在您中途离开或忘记退出时非法操作您的账户。有的银行会话超时设定为1分钟,有的设定为半小时。