網(wǎng)上銀行身份認(rèn)證情況的調(diào)查及建議

1、網(wǎng)上銀行身份認(rèn)證情況的調(diào)查及建議當(dāng)前，由于互聯(lián)網(wǎng)的飛速發(fā)展，各種互聯(lián)網(wǎng)題材也不斷顯現(xiàn)， 諸如互聯(lián)網(wǎng)購(gòu)物，互聯(lián)網(wǎng)交各種生活費(fèi)用等業(yè)務(wù)創(chuàng)新層出不窮， 互聯(lián)生活已成為當(dāng)前群眾生活不可缺少的一部分，而這一切的產(chǎn)生，非常重要的一個(gè)環(huán)節(jié)，是銀行推出的網(wǎng)上銀行服務(wù)，銀行的 網(wǎng)上銀行安全關(guān)系互聯(lián)生活的安全， 而網(wǎng)上銀行安全最主要的安 全措施就是在客戶(hù)身份認(rèn)證上做功夫。結(jié)合高要地區(qū)實(shí)際，在高要經(jīng)營(yíng)的銀行主要是國(guó)有四大銀 行、廣發(fā)銀行和本地的高要農(nóng)商行，而根據(jù)我們了解，基本所有 銀行的網(wǎng)上銀行身份認(rèn)證都是一致的，主要有以下幾種：一、簡(jiǎn)單的大眾版網(wǎng)上銀行，只需自行或在柜臺(tái)開(kāi)通網(wǎng)上銀 行，通過(guò)觀(guān)察，各銀行采取的都是網(wǎng)

2、上銀行登錄密碼認(rèn)證，只要 客戶(hù)在網(wǎng)絡(luò)上輸入自已開(kāi)戶(hù)或首次登錄時(shí)設(shè)置的密碼，輸入正確后就認(rèn)證通過(guò)，就可以登錄到網(wǎng)上銀行進(jìn)行查詢(xún)賬戶(hù)的操作，這種認(rèn)證方式簡(jiǎn)單，安全性也最差，只要騙子或黑客知道客戶(hù)的登 錄密碼就可以對(duì)客戶(hù)的賬戶(hù)相關(guān)信息進(jìn)行查詢(xún)，此類(lèi)認(rèn)證方法既然不安全，當(dāng)然銀行在網(wǎng)上銀行開(kāi)放的功能也是有限的，基本上只限于查詢(xún)賬戶(hù)信息或明細(xì)，充其量也只能進(jìn)行客戶(hù)自身?yè)碛械?賬戶(hù)之間進(jìn)行轉(zhuǎn)賬等簡(jiǎn)單的、風(fēng)險(xiǎn)性較小的操作。二、短信口令或靜態(tài)口令卡，短信口令，故名思議就是在操 作網(wǎng)上銀行時(shí)，通過(guò)給客戶(hù)預(yù)留的手機(jī)號(hào)碼發(fā)送動(dòng)態(tài)密碼的方式進(jìn)行身份認(rèn)證，這種驗(yàn)證方法比簡(jiǎn)單的登錄密碼身份認(rèn)證驗(yàn)證多 一了重的安全保障，但其

3、安全性依然不夠，因此多數(shù)銀行對(duì)該種 認(rèn)證方式提供的功能雖然比較齊全，但基本限于轉(zhuǎn)帳金額小， 或風(fēng)險(xiǎn)性較低的網(wǎng)上銀行操作。 存在的風(fēng)險(xiǎn)主要如下：一是客戶(hù)由 于丟失手機(jī)卻沒(méi)有及時(shí)掛失而導(dǎo)致短信口令泄露而存在的風(fēng)險(xiǎn)， 其次是由于網(wǎng)絡(luò)黑客通過(guò)竊取客戶(hù)手機(jī)號(hào)碼的密碼從而盜取客 戶(hù)短信口令或通過(guò)在客戶(hù)手機(jī)上安裝軟件實(shí)施盜取客戶(hù)短信口 令而導(dǎo)致的風(fēng)險(xiǎn)。舉個(gè)最近的典型的例子來(lái)說(shuō)，來(lái)自網(wǎng)易新聞的報(bào)道： 2015年 7 月 8 日，微博網(wǎng)友“公交姬”在微博上吐槽，今年 2 月，他發(fā)現(xiàn)自己的銀行卡總是被人莫名其妙地輸錯(cuò)密碼凍結(jié)， 可他的卡一直都在自己手上，也從來(lái)沒(méi)有泄露過(guò)卡的信息。近日，他多次收到運(yùn)營(yíng)商發(fā)來(lái)的“短信

4、保管箱”業(yè)務(wù)的訂購(gòu)短信，雖然立即聯(lián)系客服取消了這項(xiàng)業(yè)務(wù)并修改了賬號(hào)密碼， 仍收到了數(shù)十條來(lái)自各個(gè)消費(fèi)網(wǎng)站發(fā)來(lái)的各種驗(yàn)證碼短信， 同時(shí)銀行卡被不法分子盜刷， 損失超過(guò) 1 萬(wàn)元。 而他被盜刷的銀行卡為在工商銀行開(kāi)辦的儲(chǔ)蓄卡。不過(guò)，這并不是個(gè)案，據(jù)當(dāng)?shù)孛襟w報(bào)道，北京地區(qū)多位儲(chǔ)戶(hù)遇到類(lèi)似情況， 有類(lèi)似經(jīng)歷的受騙者在社交工具上成立交流群，規(guī)模近20 人。一時(shí)之間，工行“工銀e 支付”有重大漏洞的說(shuō)法傳開(kāi)。針對(duì)儲(chǔ)戶(hù)資金通過(guò)快捷支付被盜一事，工行方面20 日表示，工銀e 支付業(yè)務(wù)運(yùn)營(yíng)正常，也未發(fā)生泄露客戶(hù)信息的情況， 儲(chǔ)戶(hù)資金被盜主要是由于其預(yù)留的手機(jī)被強(qiáng)行開(kāi)通了中國(guó)移動(dòng)的“短信保險(xiǎn)箱”業(yè)務(wù)，不法分子盜取

5、儲(chǔ)戶(hù)動(dòng)態(tài)密碼，進(jìn)而通過(guò)快捷支付盜取資金。工行在公告中表示， “近年來(lái)，多家支付機(jī)構(gòu)和商業(yè)銀行都推出了基于手機(jī)短信驗(yàn)證的快捷支付業(yè)務(wù)， 這種小額支付方式方便快捷， 受到了客戶(hù)的廣泛歡迎。 我行的工銀e 支付業(yè)務(wù)也屬于這種快捷支付業(yè)務(wù)，該業(yè)務(wù)開(kāi)通時(shí)需要驗(yàn)證客戶(hù)預(yù)留在我行的密碼和手機(jī)號(hào)碼， 支付時(shí)需要驗(yàn)證我行向客戶(hù)預(yù)留手機(jī)發(fā)送的短信驗(yàn)證碼。 只要客戶(hù)保管好手機(jī)上的短信， 安全性是有保障的。 現(xiàn)在社會(huì)上一些不法分子利用非法手段竊取客戶(hù)個(gè)人信息和認(rèn)證短信， 以盜取客戶(hù)資金。 為安全使用工銀e 支付業(yè)務(wù)，我行提醒廣大客戶(hù)務(wù)必保管好個(gè)人信息、密碼，防止手機(jī)被植入病毒，防止認(rèn)證短信被盜取。 ”工銀 e 支付每

6、日累計(jì)支付的最大限額是1 萬(wàn)元， 每月 5 萬(wàn)元。 中國(guó)人民大學(xué)重陽(yáng)金融研究院客座研究員董希淼認(rèn)為，這個(gè)事件的主要責(zé)任在運(yùn)營(yíng)商身上。此案例主要是利用客戶(hù)的手機(jī)登錄密碼泄露被不法分子利用， 在網(wǎng)上幫客戶(hù)開(kāi)通“短信保管箱”業(yè)務(wù)，實(shí)時(shí)查看客戶(hù)接收到的動(dòng)態(tài)口令，進(jìn)行盜刷的犯罪行為。靜態(tài)口令卡， 主要是通過(guò)網(wǎng)上銀行操作轉(zhuǎn)帳或其他業(yè)務(wù)時(shí)輸入口令卡中對(duì)應(yīng)坐標(biāo)的數(shù)字作為身份驗(yàn)證的方式， 而口令卡上的坐標(biāo)對(duì)應(yīng)的數(shù)字口令是不變的， 這種認(rèn)證方式相對(duì)于短信口令來(lái)說(shuō)雖然沒(méi)有被裝軟件竊取口令的風(fēng)險(xiǎn)， 但這種口令卡存在的風(fēng)險(xiǎn)也不小，比如口令卡丟失，又或者口令卡被人以照相方式竊取。目前銀行的靜態(tài)口令卡雖然有一層保護(hù)膜隱藏對(duì)

7、應(yīng)坐標(biāo)的數(shù)字口令，每需要使用一個(gè)坐標(biāo)對(duì)應(yīng)的數(shù)字口令時(shí)刮開(kāi)查看，但使用一段時(shí)間后，口令卡上的保護(hù)膜基本上都被刮開(kāi)了，然后客戶(hù)口令卡上的所有坐標(biāo)的密碼都暴露出來(lái)，就容易被人照相或其他方式竊取，比如說(shuō)，一個(gè)客戶(hù)的口令卡在刮開(kāi)后，假如其沒(méi)有 保存好，被不法分子照相后，其動(dòng)態(tài)口令卡就基本上等于沒(méi)有一 樣了，不法分子可以利用獲取到的口令，通過(guò)網(wǎng)上銀行的認(rèn)證， 從而盜取客戶(hù)資金或進(jìn)行其他不法操作。三、動(dòng)態(tài)口令牌，每30秒隨機(jī)生成一個(gè)動(dòng)態(tài)口令，每個(gè)口 令只能使用一次。動(dòng)態(tài)口令牌是用來(lái)生成動(dòng)態(tài)口令的 終端設(shè)備， 也稱(chēng)動(dòng)態(tài)令牌，即使客戶(hù)不慎外泄了登錄卡號(hào)和登錄密碼，只要保管好客戶(hù)手中的口令卡，使登錄卡號(hào)、登錄密碼

8、、口令卡不被 同一個(gè)人獲取，就能夠保證客戶(hù)資金的安全，從而讓客戶(hù)更加安全、放心地使用電子銀行。但只要令牌被盜也一樣會(huì)導(dǎo)致相應(yīng)的 資金風(fēng)險(xiǎn)。四、USB Key （簡(jiǎn)稱(chēng)UKEY是一種USBg口的硬件設(shè)備。它內(nèi)置單片機(jī)或智能卡芯片， 有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶(hù) 的私鑰以及數(shù)字證書(shū)，利用 UKey內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶(hù)身 份的認(rèn)證。這種UKEY-般設(shè)置有UKEY®石馬,USBKey比較安全， 但是USBKey并非絕對(duì)安全，也存在被破解的可能?？蛻?hù)在進(jìn)行 轉(zhuǎn)帳或其他交易時(shí)，需要客戶(hù)輸入U(xiǎn)KE用碼以獲取UKE咕的證書(shū)而進(jìn)行身份認(rèn)證而確認(rèn)交易。早期的UKEY一般只需用戶(hù)輸入U(xiǎn)EKY密碼即可獲

9、取UKE訥的證書(shū)面通過(guò)身份認(rèn)證。最近幾年， 由于犯罪分子的犯罪手段提升，UKEY又發(fā)展出第二代，不僅簡(jiǎn)單需要客戶(hù)輸入 UKEY密碼碼驗(yàn)證，還需要客戶(hù)對(duì)網(wǎng)上銀行辦理 的的業(yè)務(wù)在UKEY勺液晶顯示屏進(jìn)行回顯，需要客戶(hù)在UKEY1的 物理按鍵進(jìn)行確認(rèn)。經(jīng)了解目前高要農(nóng)商行也采用這種最新的UKEY大大降低客戶(hù)風(fēng)險(xiǎn)。另外，據(jù)了解，還有一些是用組合的方式進(jìn)行身份認(rèn)證，如UKEY短信口令，動(dòng)態(tài)令牌+短信口令等等。綜上所述， 目前網(wǎng)上銀行的發(fā)展已經(jīng)相當(dāng)成熟， 目前各大銀行均根據(jù)不同的認(rèn)證方式的安全性對(duì)轉(zhuǎn)帳限額、 業(yè)務(wù)種類(lèi)等作出不同的限制。據(jù)了解，在本地各大銀行中，對(duì)企業(yè)的網(wǎng)上銀行身份認(rèn)證為UKEYTT式的，有

10、些銀行已經(jīng)不對(duì)轉(zhuǎn)帳限額進(jìn)行限制或限制金額較大，基本上已滿(mǎn)足高要地區(qū)企業(yè)的所有資金轉(zhuǎn)帳需要， 以高要本地存款余額占本地市場(chǎng)份額最高及客戶(hù)數(shù)量最多的高要農(nóng)村商業(yè)銀行來(lái)說(shuō)， 其企業(yè)網(wǎng)銀轉(zhuǎn)帳限額單日、 單筆為 1 億元。而個(gè)人網(wǎng)上銀行的轉(zhuǎn)帳限額最高也已達(dá)到 1000 萬(wàn)以上甚至更高。另?yè)?jù)了解，除了目前各種技術(shù)手段的身份認(rèn)證外，高要農(nóng)村商業(yè)銀行還對(duì)網(wǎng)上銀行轉(zhuǎn)帳超過(guò)300 萬(wàn)的客戶(hù)進(jìn)行電話(huà)回訪(fǎng)核實(shí)，從另一方面更加保障客戶(hù)資金安全。根據(jù)我們對(duì)網(wǎng)上銀行身份認(rèn)證情況的調(diào)查，我們建議如下：一是繼續(xù)提高技術(shù)身份認(rèn)證手段， 除了客戶(hù)身份認(rèn)證手段上的技術(shù)手段， 還應(yīng)加強(qiáng)客戶(hù)平時(shí)網(wǎng)上銀行使用習(xí)慣去技術(shù)分析去認(rèn)證客戶(hù)身份，其一從客戶(hù)平時(shí)登錄 IP 地址分析客戶(hù)是否是本人操作，如客戶(hù)平時(shí)在肇慶地區(qū)的 IP 地址登錄網(wǎng)上銀行，突然登錄IP 地址變?yōu)閲?guó)外或其他離客戶(hù)平時(shí)登錄地區(qū)距離較遠(yuǎn)的地區(qū)，可以判斷客戶(hù)可能存在網(wǎng)上銀行身份認(rèn)證被盜風(fēng)險(xiǎn);其二是從客戶(hù)平時(shí)網(wǎng)上銀行轉(zhuǎn)帳習(xí)慣判斷客戶(hù)是否本人操作，例如客戶(hù)一般在網(wǎng)上銀行只進(jìn)行小額資金交易，突然進(jìn)行大額