2011年02月23日 14:40
來源：經(jīng)濟觀察網(wǎng) 作者：胡蓉萍

0人參與0條評論

經(jīng)濟觀察報 記者 胡蓉萍 最近頻發(fā)的網(wǎng)銀詐騙案件使網(wǎng)銀使用的安全保障問題再次成為當下討論的熱點。

面對近期發(fā)生的多起相關案例，中行等涉案銀行已經(jīng)采取了不少措施，但其已持續(xù)兩個月的網(wǎng)銀動態(tài)口令用戶網(wǎng)上資金被盜案件還在發(fā)生著。

中信銀行電子銀行部相關負責人2月16日接受本報采訪時建議網(wǎng)上銀行客戶多使用更有安全保障的Ukey，并在指定計算機和指定時間段來使用。

中國金融認證中心(下稱CFCA)相關負責人對本報表示銀行動態(tài)口令的認證方式存在一定隱患，最好采取以Ukey數(shù)字證書為主的多渠道認證方式，比如證書+動態(tài)口令+手機驗證的認證方式，進一步保證網(wǎng)銀用戶的交易安全。

中行E令夢魘

據(jù)江蘇當?shù)孛襟w報道，1月13日下午5點45分左右，南京市民許先生正準備下班，突然收到一條手機短信：“尊敬的網(wǎng)銀用戶，你的中行E令將于次日過期，請盡快登錄www.bocvk.com進行升級，給您帶來不便請諒解，詳詢95566(中國銀行)。

根據(jù)短信提示，他登錄了所謂的 “中國銀行”的網(wǎng)址www.bocvk.com，看到打開后的網(wǎng)頁正是 “中國銀行”界面。他根據(jù)網(wǎng)頁提示，輸入自己的用戶名、密碼以及隨機產(chǎn)生的中行E令、身份證號等信息后，頁面顯示升級成功?？墒菦]一會兒，當他再次登錄自己的中行網(wǎng)銀賬戶時，發(fā)現(xiàn)賬戶上的101萬元已被轉(zhuǎn)走。

某股份制銀行電子銀行部總經(jīng)理這樣比喻：這就好比許先生晚上回家，迷迷糊糊地走錯了門，走到鄰居家去了，并用自己的真鑰匙去開鄰居家的門。鄰居家的門鎖則記下了許先生的鑰匙形狀，復制了一把，再去開許先生家門，則是暢通無阻了。

這個鑰匙就是E令卡。它還有個學術名稱叫做“動態(tài)密碼”或“動態(tài)口令”，英文名為OTP(OneTimePassword)，就是只能使用一次的密碼。其原理在于：它通過特定的計算方式在用戶處產(chǎn)生一個隨機變化的密碼，同時銀行處也能產(chǎn)生一個相同的密碼，用戶使用這個密碼登錄網(wǎng)銀時，兩個密碼相比較，若相同則表示已通過驗證，用戶可以進行下一步的操作。

因為動態(tài)密碼完全是隨機產(chǎn)生的，這與用戶自己設置的、每次都固定不變的靜態(tài)密碼相比，在安全上的確進了一步。

事實上，在國外，因其被認為方便快捷、客戶體驗很好，動態(tài)口令是網(wǎng)銀用戶使用最多的一種方式，當然其網(wǎng)銀安全問題也層出不窮。

民生銀行電子銀行部相關負責人向本報表示，E令有個致命缺陷，就是銀行端可以用這個密碼來辨認用戶，而用戶卻無法使用密碼來辨認自己登錄的是否就是正確的網(wǎng)站；而且動態(tài)口令雖然一次一變，但這種變化仍然存在一定的時間周期，通常動態(tài)口令在一分鐘內(nèi)都會有效。而就是這短短的一分鐘，給不法分子提供了可乘之機。

上述許先生的案例就是在其登錄網(wǎng)站輸入動態(tài)口令時，不法分子便在后臺將用戶的賬號與動態(tài)口令數(shù)據(jù)攔截，并且利用動態(tài)口令在一分鐘內(nèi)有效的特點立刻登錄中行網(wǎng)銀轉(zhuǎn)走用戶資金。

數(shù)字證書PK動態(tài)口令

據(jù)各大地方媒體報道，類似許先生的E令驚魂的案例在近期多達上百例。蘇州市民唐先生因為類似許先生的經(jīng)歷，其198萬余元不翼而飛；杭州蕭山的錢先生銀行卡里，2萬多元一下就縮水成了20多元……

工商銀行電子銀行部相關負責人表示，此前就認識到了這種風險，通常將以動態(tài)口令進行的資金交易限定為小額交易，“一天不超過1萬”

中行稱已與公安機關建立了打擊電子銀行犯罪活動的聯(lián)動機制，落實網(wǎng)上銀行增加“手機短信驗證碼”以及在系統(tǒng)層面與第三方支付平臺聯(lián)動控制等相關加固方案等防控措施，推進落實數(shù)字證書在網(wǎng)銀高風險交易中的應用。

上述中信銀行人士表示業(yè)內(nèi)應用得更廣泛的、安全保障程度更高的是數(shù)字證書，它與動態(tài)密碼相比在安全保障上更具優(yōu)勢。

數(shù)字證書是一段包含用戶身份信息的電子文件，通常被存儲在UKey，比如工行的“U盾”、民生銀行的“U寶”建設銀行的“E盾”、農(nóng)行的“金E順”華夏銀行的“U盾”等。

用戶在申請數(shù)字證書時，首先會有一個類似網(wǎng)上公安局的證書發(fā)放機構對申請人的身份進行確認，因此Ukey證書就像是用戶的“網(wǎng)絡身份證”，用戶登錄銀行網(wǎng)站進行交易時，在電腦上插入Ukey，向銀行亮出這個“網(wǎng)絡身份證”后，銀行就可以辨認出是否是正確的用戶。

此外，UKey證書中還包含另外一段由用戶獨有的私密數(shù)據(jù)信息，這種信息就像用戶的指紋、虹膜一樣，只由用戶自己所特有，并被固化在UKey當中。

“用戶每次在網(wǎng)銀中交易時，銀行端都會讀取這些信息，用這些信息對交易信息進行電子簽名，而電子簽名的法律效力是由國家頒布的《電子簽名法》來保障的?！鄙鲜鲋行陪y行人士表示。

民生銀行相關業(yè)務部門人士表示在這類案件當中，如果用戶使用的是數(shù)字證書，而非動態(tài)口令，那么網(wǎng)銀資金是不可能被盜走的，因為UKey證書具有多重防護機制，可以很好地防止在這類案件中中招。

防范風險

盡管網(wǎng)銀安全問題頻發(fā)，網(wǎng)銀還是以其比柜臺更加方便、快捷和高效吸引著越來越多的金融產(chǎn)品消費者。

《2010中國電子銀行調(diào)查報告》數(shù)據(jù)還顯示：2010年，全國城鎮(zhèn)人口中，個人網(wǎng)銀用戶比例為26.9%，比2009年增長了6個百分點；全國個人網(wǎng)銀用戶中，活躍用戶比例達到80.7%，比2009年增長了4個百分點；交易用戶平均每月使用次數(shù)高達5.6次，高于2009年的4.8次。

如何保障網(wǎng)上銀行的安全使用，就顯得尤為關鍵。E令詐騙的案件出現(xiàn)后，銀行一般建議客戶首先報案，如果能被公安部門偵破，那么將是不法分子承擔責任，如果不能偵破，客戶投訴銀行的話，調(diào)解不成將對簿公堂，銀行一般會按照法院判決來執(zhí)行。

“其實客觀地說，很多時候是客戶自己的識別能力存在問題，銀行從嚴格意義上講是沒有責任的，但是法院在判決的時候往往會傾向于保護弱勢群體，銀行一般會彌補客戶一定的損失來安撫客戶?！蹦彻煞葜沏y行相關業(yè)務部門人士表示。

針對E令案件，公安部則建議在搜索引擎采取一定的措施，不讓非法網(wǎng)站出現(xiàn)在搜索頁面上。

一位民生銀行電子銀行部業(yè)務管理處人士則表示：“應該在法律環(huán)境上多下一點工夫，比如加大對類似不法分子的打擊力度，同時要提升公安部門的偵破能力，與此同時，電信和銀行等機構應加大對客戶的教育和宣傳。

為打造放心安全的網(wǎng)上銀行交易環(huán)境，前不久民生銀行聯(lián)合太平洋保險公司向新開U寶客戶贈送“個人網(wǎng)銀賬戶盜竊保險”

“類似的保險產(chǎn)品在國外已經(jīng)很成熟，這或許也是一種解決網(wǎng)上銀行目前存在的問題的手段之一，”民生銀行相關業(yè)務部門人士表示。此外，工行電子銀行部相關業(yè)務人員表示，Ukey長期插在某臺上網(wǎng)的電腦上，也會出現(xiàn)該電腦被黑客攻擊然后操作Ukey的可能。上述人士表示，基于這一安全隱患，工行推出了二代U盾，即在電腦上操作了之后，還需要在U盾上再次確認，以確保安全。

打印轉(zhuǎn)發(fā)