科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道国内主流银行网银安全性横向评测

国内主流银行网银安全性横向评测

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

安全性是电子银行最大的考核要素。国内通过网上银行行窃的案例并不在少数,在网上管理账户到底安全不安全,哪个更安全?

作者:中国IT实验室 2007年9月20日

关键字: 电子银行 口令卡 钓鱼网站 证书 密码

  • 评论
  • 分享微博
  • 分享邮件

安全性是电子银行最大的考核要素。国内通过网上银行行窃的案例并不在少数,在网上管理账户到底安全不安全,哪个更安全?本文从一个普通用户角度,看这五个银行的安全性。招行是国内电子银行的老牌,毫无争议,招行对国内电子银行的发展和促进做出重大贡献。目前招行的电子银行在国内应该算口碑最好的一个。招行现在的电子银行提供有客户端的专业版和无客户端的web版。而且以专业版为主,Web版为辅助。工行、建行、兴业主体上还是web模式。恒生也是提供web模式的银行。

招商银行:专业人士的最爱,安全性和易用性的博弈

招行的专业版,采用证书+客户端。其中的证书下载前必须去银行柜台登记,并领用专门的号码后才可以下载。下载下来不允许直接备份在硬盘上(可以在u盘上,以前招行是可以直接备份在电脑硬盘上)。

因为证书以及客户端存在,等于说,别人想盗用你的存款时候,首选要知道电子银行的登陆密码(不是查询密码)。然后还要掌握安装有证书的电脑,同时还要知道取款密码,在三个都成立情况下,才可以窃取成功。「招行的电子银行密码分有,电子银行登录密码、账户查询密码、取款密码。」

客户端的存在,基本上免除了用户误用钓鱼网站导致而导致失窃的情况(当然,如果钓鱼网站模仿招行大众版除外),所以我的建议就是用专业版的用户最好的选择就是关闭大众版。

目前较高级的黑客软件和木马,即使能够窃取到查询密码、取款密码,但是在盗用招行的文件证书上还是有一定难度,就是盗用成功了,招行会用短信告知用户,你在某时成功备份了招行电子银行的文件证书。盗用者在窃取到证书后,恢复证书过程中,必须知道电子银行的登陆密码,而且必须正确回答3个预先设置号的问题,回答正确情况下,招行会把一个一次性密码发送到用户原来注册登记的手机上,然后才能修复成功。

可以说,在不考虑移动证书的前提下,招行现在的电子银行安全性相对是最高的,也是最复杂了。复杂到如果你电脑格式化(这个是正常得不得了的事情),有不少人都不得不重新跑一次招行,因为有很多人忘记了自己设定的3个问题的答案(尤其是某些人故意设置一些答非所问,或者自认为有“技巧”的答案),另外,如果你换手机号码了,请到柜台告知招行一下。否则,你将来很容易有再跑一次银行的经历了。

可以说,招行的电子银行对用户的个人计算机知识水平的要求是最高的。操作上也最麻烦。这个也直接导致了,在文件证书丢失情况下,很多用户不得不重新跑一次银行。招行在国内最早大力推广电子银行,毫无疑问,招行是国内电子银行的鼻祖,也实际上成为国内电子银行的标准之一。

综述:安全性超高,要求用户操作水平要高,推荐电脑熟悉人士使用。建议,备份证书时候记住自己的问题和密码,如果换手机号码,请务必告诉招行一下。

工商银行:亡羊补牢。口令卡把电子银行大众化

工行,提供web版本。不需要同个体用户关联的文件证书。如果你知道帐号和查询密码,可以在任意电脑上安装工行的插件,并登录使用。工行以前是可以在网络上直接申请开电子银行,这个政策也被人深为诟病,并成为一个比较公开的漏洞,工行有一段时间被窃不少,(我个人相信,工行电子银行是失窃绝对数比较高的一个银行。)后来工行大力推广口令卡,并改进电子银行软件和强化电子银行开户管理才算阻止被盗数的上涨。

工行现在主推的是口令卡。目前在推广期内是免费赠送,而且同下面提到建行相比,单张工行的口令卡能够使用次数远远超过建行(工行自己说可以使用1千次,建行的只能29次(最后一次要用来关联下一个口令卡))。工行的这种口令卡模式,有几个优点,口令卡免费,而且使用次数是1000次,从这两点上看,工行确实想在一定安全级别上降低电子银行的推广成本。由于口令卡是一个同电脑无关的物理卡片,直接切断了黑客种植木马盗用账号和密码后,依然无法直接盗用用户的存款。如果用户能保存好口令卡,理论上用户的存款是非常安全的。肯定有人提出来如果我用钓鱼网站直接欺骗用户使用假的工行账户怎么办?工行电子银行目前模式基本上可以防止此类盗用,因为你首先要窃取到当前口令卡上的两个密码区域横纵坐标信息,同时工行还提供了网络预留信息,钓鱼网站基本上无法同时窃取到两个密码区域横纵坐标信息以及预留信息。

那么盗用工行的钱,现在必须直接面对就是盗用口令卡。这个难度对于电子盗窃团伙来说,除非目标明确的个人用户,否则盗窃到物理的口令卡成本很大。何况,工行还有最后一手,口令卡一次最多只能搞1k,一天最多5k.

我也相信,工行口令卡的推广,并同时取消单机文件证书这样的模式,使很多普通的用户,尤其对计算机操作不是很理解的人,降低了他们操作的门槛。(别看下载证书这么简单的动作,实际上这个动作带来备份证书等一系列后备技术的支持),工行不需要个人用户独立的文件证书,这种模式迅速降低电子银行使用难度,不但很快挽救了自己早期的声誉,而且,非常大的促进了国内电子银行。由于工行用户群远大于招行,工行的电子银行借助基金购买这个业务,已经大大普及了电子银行。如果说招行是专业人士的喜爱,工行应该说把电子银行从阳春白雪直接普及到下里巴人的手中。

综述:操作方便,推荐普通用户用口令卡,尤其是每日转款在5k之内的用户。

建设银行:防不专业的用户却不防小人

建设银行,建设银行同工行比较。建行把“宝”压在文件证书上面,因为文件证书的存在,一下子抬高了使用门槛。但是建行的证书下载和备份有一个最大的问题,就是一旦电脑被别人窃取(或者短时间控制),对于一个普通的计算机操作人员,都可以很容易通过ie把用户证书备份出来,这个备份过程并不需要密码等支持。说的极端一点,建行的证书模式等于洞门大开!只要某一天,你开着电脑,上厕所的时间,另外一个人就可以备份走你的建行电子银行的证书。而自己的证书一旦丢失,又得上建行重新申请。有点防君子不防小人的味道。

如果要盗窃建行用户的电子银行钱款,最好就是亲近的人,直接获取到证书,然后用望远镜或者摄像头,直接窃取密码,就可以轻松转走钱款。(这里补充一句,工行还设定了口令卡转款最高上限,建行的上限却是无穷大!),或者利用黑客技术(这里面的技术我就不懂了),盗用证书后,并盗用密码,也可以转走钱款。所以当你听说国内电子银行最高被盗上限是16w,储户来自建行,我觉的一点都不奇怪。

另外建行也提供口令卡,但是不够彻底的是,口令卡要2块钱(原来要5块),建行看来果然贪财。同时设计上,建行的口令卡只能用29次。而且是顺序排列,加上没有预留信息,直接给钓鱼网站一个机会。假如钓鱼网站诱惑你成功登陆后,就直接获取了你的账号(或者登陆名)、登陆(查询)密码。如果你对自己的钱款余额不太关注,可以诱骗你刮一次口令卡,然后盗窃团伙直接用这个口令卡上的口令就可以轻松搞定你户头所有的钱。

综述:不建议有大额存款的人开建行的电子银行。如果有开,看紧你的电脑,也要看紧你的口令卡,还要关心你自己的余额。

这里再解释一下,工行和建行对钓鱼网站的防御能力的区别。工行有一个预留信息,这个信息只有你自己知道。所以你登陆钓鱼网站,钓鱼网站无法提供你的预留信息,那么这一步上能够避免细心的用户被盗。同时,在使用口令卡过程时候,钓鱼网站最多只能获得工行口令卡里面某两个框框的3位加3位的密码,而盗窃团伙即使拿到利用盗窃到的账号密码到真工行上时候,由于只有随机两个框的密码,正常情况下都不能符合工行的需要验证的密码框位置。所以钓鱼网站无法窃取工行账户的钱。

但是建行就不一样了,首先没有预留信息。除非你从自己余额上知道自己登陆错误,否则很难发现你错登陆了钓鱼网站。然后盗窃团伙窃取到你的口令卡,直接就可以在真实建行上使用了。这个区别就是工行的口令卡是要随机取两个方块的密码组合起来,而建行就是直接依据固定顺序,没有随机。

我自己现在对建行卡的态度就是,如果超过一定额度,立刻就转到其他银行卡上。而且我估计,未来建行还会发生大额存款丢失的事件。

兴业银行:最安全的不是手机

兴业银行在电子银行里面是“新兵”。估计该行的用户群和使用范围同招行、工行、建行比都少一个数量级都不止。虽然兴业提供文件证书作为安全模式,但是和所有大银行不同的是,文件证书必须交20元年费。所以到现在为止,我还没有亲身试用兴业银行带证书模式的服务,我体验到的模式是兴业通过手机短信来确认最后密码。具体如下:用查询号码登陆,转账时候,输入取款密码,同时兴业会发送一条短信到用户手机上,这个短信里面包含了一次性的验证密码。不少人认为同手机关联的模式是最安全的,其实不然,我专门咨询过一个地级市的移动工作人员,问他们的技术人员能否看到用户的短信,对方给我一个非常肯定的答复。如果一个地市级别(不是省级)的移动工作人员就能看到所在区域某手机的短信,这个安全性立刻大大打折扣。兴业银行在转资金时候,还要有取款密码,这一点上,比工行、建行要好。(工行、建行如果有口令卡,转款时候可以不要原来设置的取款密码)

兴业电子银行最大的破绽我个人认为集中在手机上。因为丢手机,或者说,盗窃团伙偷手机还是比较轻松的,对于gsm还可以直接复制手机卡!就是说,盗窃团伙在定准一个人的兴业e卡电子银行,在套取到查询密码后和取现密码(这个密码因为用的少,安全性相对较高),只要有几秒钟控制用户的手机,或者能够复制用户的gsm手机,或者能够进入移动的网关,看到手机的短信记录,下面就可以成功盗走所有现金。

综述:兴业电子银行,看紧取款密码比看紧手机更重要。因为手机时刻都有可能被盗阅读,甚至gsm手机很容易被监听。建议用户使用兴业电子银行时候,每日的转账上限还是适当保守一点为好。

恒生银行:外资盛誉下的弱安全性

恒生是港资。我只是替别人操作恒生的账户。恒生提供web版本。如果只从投资买卖股票方面考量,恒生的安全性最低,只要用户名密码正确,就可以操作买卖港股。甚至没有取款密码做第二次校验保障。

但是恒生对于存款5000元以上的用户,如果你愿意申请,可以免费获得一个数字口令密码器(恒生起的名字是“保安编码器”)。这个编码器同我们国内最流行的 u盾(ukey)不一样,它不是usb插口,而是物理上完全独立电脑,只是提供一个按钮,按钮上有数字。每次按钮,可以活得随机的数据。(具体介绍地址: http://www.hangseng.com/hsb/chi/onl/sec/nsm/index.html)可以说,这个“保安编码器”最基本的原理同工行的口令卡一致,比口令卡优势就是可以使用无数次,比口令卡劣势就是,如果窃贼直接偷偷按了一下“保安编码器”的按钮,然后把随机数(保安编码数)直接抄走,用户根本不知道。(口令卡因为有刮开这个过程,所以,相对容易觉察是否有人盗刮)。

我认为这个模式是不安全的。因为不能确保盗号能够被发现。

原来一直宣传外资银行如何好,假定不考虑服务质量,我个人觉的外资银行(以恒生银行标准来看)的电子银行安全性远不如国内的招行和工行,兴业。安全系数同建行差不多。唯一可取的是愿意免费提供成本较高的“保安编码器”,但是恒生也只对存款达到一定额度的用户才提供。

我个人并不认为,恒生银行如果进入大陆发展,他的电子银行并有什么优势可言。(暂定不考量其他功能和其他优势)

最后讨论一下现在认可度比较高的u盾(或者u key)。「usb口的电子银行移动证书」

如果有ukey(u盾),在资金发生流动时候,必须插入这个硬件,同时搭配密码。(招行还需要登陆密码,取款密码,加ukey,比其他行多一个取款密码,安全性最高)。同现在广泛应用的口令证书相比,安全性更高,没有口令卡的盗刮、影印问题。而且一旦丢失,用户很容易发觉。同时不像手机,有人接触ukey,估计用户警惕性要比接触手机要高。(我看到开会时候,大家都在互相玩对方手机,那时候,手机短信密码安全性我想大打折扣)。Ukey(u盾)最大的问题在于成本,一个需要70元左右,这个价格导致推广起来困难重重。

综述,如果你有很多银行账户需要打理,建议,你存款最多的银行,还是掏钱买一个ukey(u盾)为好。要不,真的大热天跑一次银行,成本不会比70元少多少。

最后说一个题外话:国内工行(或者建行)在电子银行被疯狂盗窃情况下,利用口令卡,并付之实时,确实成本低廉。而且该模式是同电脑硬件完全隔离,安全性大大提高。口令卡是工行(或者建行)对国内电子银行的最大贡献。

    • 评论
    • 分享微博
    • 分享邮件
          邮件订阅

          如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

          重磅专题
          往期文章
          最新文章