中国银行网银安全事件的解决方案

三月 2nd, 2011

最近中国银行的网银因为钓鱼网站困扰着他们,中行在官网上发布了很多的提示(http://www.boc.cn/bocinfo/bi1/201101/t20110127_1286422.html)。媒体也有许多相关的报道。

中行使用的是动态口令牌,也就是随机生成6位数字,这6位数字和服务器实时保持一致,在验证交易的时候,通过验证这个口令牌的口令,来确认用户身份。这个方式对用户非常方便,不需要带着u盾,在安装后u盾驱动的电脑上使用。第二个优点是,万一电脑是“肉鸡”,也不怕,因为动态密码使用一次就失效。但是随之而来的问题是:因为不需要证书,一但客户泄露了当前的口令 (1分钟才变一次),钓鱼网站完全有时间钻空子。

当然,去钓鱼网站,或者自己的电脑成为了“肉鸡”,不是银行的错,是自身防范意识差。当然这属于犯罪行为,客户应该报警,尽快抓到这些人。但是这些事件发生,银行也要有一定的责任,既然你推出了这种身份验证工具,就要充分保证客户的利益。

是不是没有办法解决呢?不是的,这个问题有解决的办法。

中行的解决办法是:增加了手机确认码。说实话,这种方式实在让人失望。因为它治标不治本。手机确认码和动态口令,对于钓鱼网站来说,没有太大的区别。因为:第一,它们都只需要客户在网站上输入,在钓鱼网站上输入后,马上会被人获取到;第二,这个有足够的时间范围,因为时间范围设定太短,会严重影响可用性。

所以中行目前采取的解决方案,只能说会让客户的操作更为复杂,而不能使客户能够真正有效避免钓鱼网站。

中行的解决方案,实际上是没有抓住问题的本质。本质在于需要让客户能够正确地识别是不是进入了假网站,而不是让客户多输入内容。

因为客户一旦通过假网站输了注册信息,他在网站上预留的信息和资料,对于恶意访问者来说,已经没有任何秘密了。所以单纯在网站上想办法也不是好的思路。

如果中行采用数字证书(像工行的u盾那样的产品)呢?其实也不现实。中行已经发放了很多的口令牌,如果转而采用u盾的方式,一来客户不方便,二来银行的网站验证机制需要重新设计。这是下策。

最佳的处理方式,还是在流程上进行优化,进行少量的改进就可以达到让客户判别出是否是钓鱼网站,解决了这个问题,也就抓住了问题的实质。

解决问题得方式有很多,但是适合中行目前情况的,需要颇费一些脑筋。建议采用反向验证码的方式,这样可以很容易让客户确认一个网站是否是假网站。反向验证通过后,客户可以确信进入了正确的网站,再输入动态口令,确保交易安全。

  1. 呵呵,你的提议,还不如手机呢~!

  2. I turned 50 this year. It was bittersweet. I feel like I should have accomplished more in that time. Also, I went on a Miinsoss/Vision trip to Northern Ireland which eventually resulted in our church giving over $10,000 to Convoy of Hope. The best part of the year was spending it with friends and family like you and Rochelle and little Madelynn!

评论