2011年02月23日 14:40
来源：经济观察网 作者：胡蓉萍

字号:T|T

0人参与 打印 转发

经济观察报 记者 胡蓉萍 最近频发的网银诈骗案件使网银使用的安全保障问题再次成为当下讨论的热点。

面对近期发生的多起相关案例，中行等涉案银行已经采取了不少措施，但其已持续两个月的网银动态口令用户网上资金被盗案件还在发生着。

中信银行电子银行部相关负责人2月16日接受本报采访时建议网上银行客户多使用更有安全保障的Ukey，并在指定计算机和指定时间段来使用。

中国金融认证中心(下称CFCA)相关负责人对本报表示银行动态口令的认证方式存在一定隐患，最好采取以Ukey数字证书为主的多渠道认证方式，比如证书+动态口令+手机验证的认证方式，进一步保证网银用户的交易安全。

中行E令梦魇

据江苏当地媒体报道，1月13日下午5点45分左右，南京市民许先生正准备下班，突然收到一条手机短信：“尊敬的网银用户，你的中行E令将于次日过期，请尽快登录www.bocvk.com进行升级，给您带来不便请谅解，详询95566(中国银行)。”

根据短信提示，他登录了所谓的 “中国银行”的网址www.bocvk.com，看到打开后的网页正是 “中国银行”界面。他根据网页提示，输入自己的用户名、密码以及随机产生的中行E令、身份证号等信息后，页面显示升级成功。可是没一会儿，当他再次登录自己的中行网银账户时，发现账户上的101万元已被转走。

某股份制银行电子银行部总经理这样比喻：这就好比许先生晚上回家，迷迷糊糊地走错了门，走到邻居家去了，并用自己的真钥匙去开邻居家的门。邻居家的门锁则记下了许先生的钥匙形状，复制了一把，再去开许先生家门，则是畅通无阻了。

这个钥匙就是E令卡。它还有个学术名称叫做“动态密码”或“动态口令”，英文名为OTP(OneTimePassword)，就是只能使用一次的密码。其原理在于：它通过特定的计算方式在用户处产生一个随机变化的密码，同时银行处也能产生一个相同的密码，用户使用这个密码登录网银时，两个密码相比较，若相同则表示已通过验证，用户可以进行下一步的操作。

因为动态密码完全是随机产生的，这与用户自己设置的、每次都固定不变的静态密码相比，在安全上的确进了一步。

事实上，在国外，因其被认为方便快捷、客户体验很好，动态口令是网银用户使用最多的一种方式，当然其网银安全问题也层出不穷。

民生银行电子银行部相关负责人向本报表示，E令有个致命缺陷，就是银行端可以用这个密码来辨认用户，而用户却无法使用密码来辨认自己登录的是否就是正确的网站；而且动态口令虽然一次一变，但这种变化仍然存在一定的时间周期，通常动态口令在一分钟内都会有效。而就是这短短的一分钟，给不法分子提供了可乘之机。

上述许先生的案例就是在其登录网站输入动态口令时，不法分子便在后台将用户的账号与动态口令数据拦截，并且利用动态口令在一分钟内有效的特点立刻登录中行网银转走用户资金。

数字证书PK动态口令

据各大地方媒体报道，类似许先生的E令惊魂的案例在近期多达上百例。苏州市民唐先生因为类似许先生的经历，其198万余元不翼而飞；杭州萧山的钱先生银行卡里，2万多元一下就缩水成了20多元……

工商银行电子银行部相关负责人表示，此前就认识到了这种风险，通常将以动态口令进行的资金交易限定为小额交易，“一天不超过1万”。

中行称已与公安机关建立了打击电子银行犯罪活动的联动机制，落实网上银行增加“手机短信验证码”以及在系统层面与第三方支付平台联动控制等相关加固方案等防控措施，推进落实数字证书在网银高风险交易中的应用。

上述中信银行人士表示业内应用得更广泛的、安全保障程度更高的是数字证书，它与动态密码相比在安全保障上更具优势。

数字证书是一段包含用户身份信息的电子文件，通常被存储在UKey，比如工行的“U盾”、民生银行的“U宝”、建设银行的“E盾”、农行的“金E顺”、华夏银行的“U盾”等。

用户在申请数字证书时，首先会有一个类似网上公安局的证书发放机构对申请人的身份进行确认，因此Ukey证书就像是用户的“网络身份证”，用户登录银行网站进行交易时，在电脑上插入Ukey，向银行亮出这个“网络身份证”后，银行就可以辨认出是否是正确的用户。

此外，UKey证书中还包含另外一段由用户独有的私密数据信息，这种信息就像用户的指纹、虹膜一样，只由用户自己所特有，并被固化在UKey当中。

“用户每次在网银中交易时，银行端都会读取这些信息，用这些信息对交易信息进行电子签名，而电子签名的法律效力是由国家颁布的《电子签名法》来保障的。”上述中信银行人士表示。

民生银行相关业务部门人士表示在这类案件当中，如果用户使用的是数字证书，而非动态口令，那么网银资金是不可能被盗走的，因为UKey证书具有多重防护机制，可以很好地防止在这类案件中中招。

防范风险

尽管网银安全问题频发，网银还是以其比柜台更加方便、快捷和高效吸引着越来越多的金融产品消费者。

《2010中国电子银行调查报告》数据还显示：2010年，全国城镇人口中，个人网银用户比例为26.9%，比2009年增长了6个百分点；全国个人网银用户中，活跃用户比例达到80.7%，比2009年增长了4个百分点；交易用户平均每月使用次数高达5.6次，高于2009年的4.8次。

如何保障网上银行的安全使用，就显得尤为关键。E令诈骗的案件出现后，银行一般建议客户首先报案，如果能被公安部门侦破，那么将是不法分子承担责任，如果不能侦破，客户投诉银行的话，调解不成将对簿公堂，银行一般会按照法院判决来执行。

“其实客观地说，很多时候是客户自己的识别能力存在问题，银行从严格意义上讲是没有责任的，但是法院在判决的时候往往会倾向于保护弱势群体，银行一般会弥补客户一定的损失来安抚客户。”某股份制银行相关业务部门人士表示。

针对E令案件，公安部则建议在搜索引擎采取一定的措施，不让非法网站出现在搜索页面上。

一位民生银行电子银行部业务管理处人士则表示：“应该在法律环境上多下一点工夫，比如加大对类似不法分子的打击力度，同时要提升公安部门的侦破能力，与此同时，电信和银行等机构应加大对客户的教育和宣传。”

为打造放心安全的网上银行交易环境，前不久民生银行联合太平洋保险公司向新开U宝客户赠送“个人网银账户盗窃保险”。

“类似的保险产品在国外已经很成熟，这或许也是一种解决网上银行目前存在的问题的手段之一，”民生银行相关业务部门人士表示。此外，工行电子银行部相关业务人员表示，Ukey长期插在某台上网的电脑上，也会出现该电脑被黑客攻击然后操作Ukey的可能。上述人士表示，基于这一安全隐患，工行推出了二代U盾，即在电脑上操作了之后，还需要在U盾上再次确认，以确保安全。