欢迎来到天天文库
浏览记录
ID:15644822
大小:254.00 KB
页数:7页
时间:2018-08-04
《关于网银安全性分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、随着电脑与网络的普及应用,网上支付、网上交易这些概念迅速的进入了现实生活,改变着人们的传统生活方式,网上购物逐渐成为一种时尚,由此诞生了“円族”这样一个新名词,日常生活的水费、电费、燃气费、电话费、学费、交通罚款、考试报名费、各种保险以及各类金融业务等等都可以通过网上交易的方式来实现,在这个生活节奏加快,交通拥挤的环境下可以节省不少时间和精力,节省人力物力,正迎合了“低碳”生活的号召。国内的各大银行都在积极推广网上银行以及手机银行这些电子银行业务。可是,现实生活中由于人们对网上银行安全性的不了解,造成了相当一部分人的戒备心理,影响了网银的普及,这里对网银的安全性谈
2、一些一家之言。 早期的网上银行比较简单,在身份认证方面采用密码加文件型数字证书的方式,说实话这种网银安全性不敢恭维,因为数字证书是一个文件,安装在个人电脑上,个人电脑处于网络环境下,谁也不敢保证自己的电脑不会中病毒、木马,不会被远程控制,一旦出现被远程控制,黑客除了能盗取网银密码,还可以轻易的把数字证书从被控电脑上导出然后传送到自己的电脑上安装,这样,黑客就能很轻易的操作被盗账户实现转账、交易这些操作,所以这种早期网银安全性其实很差,前几年的网银被盗基本属于这种类型。 几年来,随着技术的进步以及金融业的激烈竞争,各家银行除了采取一些诸如SSL加密等措施来保
3、证网银安全之外,在身份认证方面都摒弃了文件型数字证书,而改用了密码加硬件型U盾或者动态口令的方式。这里分三种类型介绍。 1、下面图1所示的是一种常见的U盾形式,外观如同日常使用的U盘,用于身份认证的加密证书就存储在这个硬件形式的U盾内部,具有不可见、不可导出、不可复制的特性,并且这种U盾本身还有一个密码,这个密码借助银行提供的管理工具可以更改为个人容易记忆的密码, 使用网银时,有三个密码,一个是用于登录的,这个密码只能查询,一个是交易密码,这个密码用于转账、支付这些资金流动的操作,另外,要进行这些资金流动的操作,当提交了请求后如果没有检测到U盾,会提示插入U
4、盾用于认证,必须把这个U盾插在电脑的USB接口上完成身份认证,否则是无法进行这些操作的,并且认证时需要输入U盾本身的密码来访问U盾内部的加密证书来完成身份认证,那么也就是说,当一名黑客控制了一台电脑、盗取了登录密码、交易密码、U盾密码,但是,只要U盾没有插在电脑上,他也只能望洋兴叹,徒唤奈何而已。在这样的安全保障下,造成损失的原因就是U盾长时间插在电脑上忘了拔下,给黑客造成了可趁之机。曾经有个案例就是有位白领的U盾常年插在公司里自己的电脑上,后来电脑出问题找人维修,维修人员看到U盾,在电脑上安装了木马,然后远程控制了这台电脑,盗取了密码,而且U盾一直插在被控电脑上
5、,维修人员通过远程控制很轻易的盗取了银行账户内的资金。所以,正确的方式是:使用网银时当提示插入U盾时再把U盾插上,一旦看到交易成功的提示,马上拔下,杜绝隐患。 图1 2、如下图2所示是工行采用的第二代U盾,因为近年来使用网银的用户日益增多,而有些用户粗心大意,交易结束后U盾忘了拔下,如果电脑被远控或者电脑处于公共场所,被盗的可能性就会大大增加,所以工行对于第二代U盾采取了新的保护措施,图1所示U盾交易流程是这样的: ①输入登录密码登录网银。 ②提出资金流动操作的请求。 ③按提示输入交易密码。 ④按提示插入U盾。
6、 ⑤按提示输入U盾本身密码 ⑥点击“确认”按钮完成认证和交易。 在这个流程中,除了插入U盾以外,其余的都是键盘鼠标操作,而这些键盘鼠标操作都是可以在用户不会察觉的情况下远程控制来完成的,所以如果用户电脑被黑客控制,U盾又没拔下的话就会造成账户被盗。 如图3所示是工行二代U盾的侧面,可以看到外壳上有四个按键,正面带个显示屏,很像一个MP3播放器,四个按键从左到右依次是OK(确认)、Cancel(取消)、上翻页、下翻页。这种U盾在使用时除了电脑屏幕提示外,在U盾的液晶显示屏上还有操作提示,与图1所示的U盾不同的是这种U盾在在插入电脑用于认证时,上面流程
7、⑥的“确认”操作是要通过手工连按两次U盾侧面的“OK”键来完成的,如图4所示的提示。所以对于这种U盾来说,即使忘记拔下,并且也被远控,最后这个确认操作却是不能通过键盘鼠标来实现的,黑客仍然无奈,这也是二代U盾在安全性方面的改进。 图2 图3
8、
此文档下载收益归作者所有
