动态密码 能否助网银安全一臂之力

不久前，浙江的朱玉梅女士在建设银行账户的近11万元被人从网上划转，使之成为继上海市民蔡中网银账户16万余元被盗后的又一通过网银交易造成严重损失的用户。于是，有人便发出质疑：“连一向被称为最安全的数字证书居然也会有漏洞，那么，网银安全还可信吗？”
　　的确，近年来，各家银行尽管推出了多种加密方式来确保网银使用者的安全，网银用户也尝试着输入更多的密码，经过更多的认证来登陆网银，然而，实际效果似乎并不尽如人意。

　　网银的安全问题究竟出在哪里？采取何种有效措施，才能确保客户的资金安全？业内专家分析认为，由于网银系统涵盖银行服务器端、网上银行用户端、互联网，因此，相应的安全策略自然也应从这三方面加以考虑。现实情况是，银行方面有足够的财力和专业人员来实施服务器端的安全防范，网络安全也早已就有了成熟的技术保证，而由于部分网银客户不具备全面完善的网络安全知识，因此，网银的薄弱环节大多出于客户端应用。作为网银的发起者和推动者，银行在保证网银安全方面无疑起着主导作用，因此，银行应有责任帮助客户防患于未然。

　　双因素认证，动态密码博采众长

　　对于网银客户端的安全防范，各家银行相继采用了诸如密码加密控件、软键盘以及数字证书、动态密码等措施，这些措施各有所长，或者易于使用，或者长于安全，或者拥有法律效力，但是，同时兼具安全性与便捷性、更具法律效力的安全防护措施，至今尚不多见。

　　很长一段时间，出于便捷性的考量，很多网银用户，尤其是个人用户采用静态密码。但是，由于只用用户名和密码，非常容易出安全故障，故而也不太安全。冒充站点的“网络钓鱼”，以及利用木马病毒窃取用户名和密码的案件，都是利用了静态密码的体制缺陷。当前，对于木马病毒和网上黑客有一定防范能力的，只有动态密码和数字证书技术。作为国家信息安全的基础，PKI/CA技术能给网上交易双方一个专属的数字签名，让伪造、假冒真实用户的非法者无机可乘；另外，也能防止在客户端与Web服务器之间传输的敏感、机密信息和交易数据在互联网上被截取；再者，该技术也能预防对发送信息进行抵赖而引起的不必要的纠纷。虽然数字证书满足了大企业的安全需求，但是，由于收费较高，操作繁琐，故而在普通网民内的普及度较低。另外，目前使用较多的ＵＳＢ ＫＥＹ和数字证书都属于连线的保护手段，每次交易时，用户都需要将设备接入电脑，通过连接计算机才能使用。但由于病毒的不断升级，只要这些设备与电脑相连，就有可能遭受攻击。

相对于其他认证方式，动态密码可谓既安全又便捷的方法。动态密码也称“一次性密码”，用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次，如此可以免除口令泄露的危险。动态口令的生成与客户电脑无关，不需要在客户的电脑上安装任何程序，不需要依赖特定终端或联机设备，也不需要下载繁琐的客户端程序，当然也不用记忆复杂的口令，使用起来简捷方便。

[1] [2] [3] 下一页