网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


专家支招网友集智 网银防盗终极手册

2011-11-03 22:58 推荐: 浏览: 135 字号:

摘要:   【IT168专稿 文/kaduo】随着互联网的普及,以及大众需求层次的提高,使用网银在线交易的人数越来越多,随之因使用网银造成的诸如网银资金被盗等问题也大幅增多。针对网银面临的这些安全风险,作者近期采访了多位使用网银的用户,通过他们使用网银的经历以及他们针...

  【IT168专稿 文/kaduo】随着互联网的普及,以及大众需求层次的提高,使用网银在线交易的人数越来越多,随之因使用网银造成的诸如网银资金被盗等问题也大幅增多。针对网银面临的这些安全风险,作者近期采访了多位使用网银的用户,通过他们使用网银的经历以及他们针对网银安全的建议,希望能使大家对网银安全的了解有一些帮助。

  2gua:时刻保持安全意识

  我一直不是那么“潮”的人,多年来,网银一直未用,倒也不是抵触,只是觉得在工作和生活中,网银功能对我来说并不是那么迫切,相对而言,支付宝更熟悉一些吧。但是,任何“潮”的事物,都是会或早或迟到来的,于是乎,我也终于用上了网银了,并同时拥有了一个圆润流线体的Key – 招商银行的优Key。

  刚开始使用,还是不太会用的,搜索了使用方法,上招行网站 –>下载安装客户端,并准备下载Key驱动程序,这时候才发现我是23型的优Key,免安装驱动程序–>在USB口插入Key,按提示操作就OK了,基本都是常规做法,一步步下去就是了,感觉不出有啥难或不难的。

  总体而言,网银还是比较安全的,USB Key采用公匙和私匙双匙加密,从这个角度来看,安全度已经很高。但道高一尺、魔高一丈,漏洞总是有的,很难做到百无一失的,最重要的安全性保障措施,我认为首要在人,其次才是技术,技术可以提供必要的安全保障,但人的操作及防范意识则更加关键。比如,被木马植入电脑,用户又长期不安装安全软件,不杀毒杀木马,这些都很可能给不法分子可乘之机,通过监控你的键盘输入窃取必要的认证信息;又如,上了钓鱼网站,轻信骗子谎言而在不知不觉中被诈骗。所以,平时使用优Key时,一定要养成良好习惯,并时刻保持安全意识,用完优Key就及时拔出收好,防止被木马软件获取了PIN码后进行欺诈认证;上网银时多长一个心眼,别上了钓鱼网站,导致电脑被植入后门或泄露认证信息。从优Key技术的角度而言,也是有可加强之处,比如加强认证信息的加密机制、通过软键盘或优Key键盘输入认证信息等。

  sun_luke:了解USB Key如何保障网银安全

  最早接触的网银是使用的中国工商银行的动态口令卡,动态口令卡即根据每次网上要求提供的纵坐标和横坐标,使用动态口令卡查出相应的口令。动态口令的使用避免了使用单一不变的口令,只有拥有自己的动态口令卡才能查询出对应的正确的口令。从而从一定意义上保障了口令的安全性。

  现在使用的是民生银行的U宝,造型还有很有意思的,查看了一下型号,为飞天诚信的ePass2000。网银确实对我们的工作和生活带来了巨大的方便,但是提供方便的同时,安全性保障是我们更为关注的问题。从安全角度来说,Key是一种比较安全的解决方案,它采用了双因子的身份认证方案,其一,是你必须拥有Key这个硬件设备,其二,Key通常都是设置一个使用口令,利用口令进行使用保护。因此你要使用Key的话,必须同时提供Key和口令。

  从安全理论上来说,每个Key中均保存了一个唯一的RSA密钥对,ePass2000应该是RSA1024比特,1024比特指的是密钥的长度,该长度越长则表示越安全,比如2048比特比1024比特的安全性更高,但是对于我们目前而言,1024比特的密钥长度已经足够安全了。从Key的物理安全保护机制来说,RSA密钥对的产生是在内部执行的,其私钥是收到保护无法导出的,因此保证了其绝对的安全性。使用Key登录的过程实际上是使用RSA私钥进行签名的过程,签名的正确性可以使用其对应的数字证书进行签名验证。由于RSA算法的安全性,在没有提供对应的私钥的情况下,任何人都无法伪造你的数字签名,也就是说使用你的Key进行的签名是只有你才能够提供的,因此能够实现网络虚拟环境下的身份认证。

  如果你的Key不慎丢失,Key还有另外一层的保护,即口令。在使用Key的时候,如果错误输入几次口令(次数可以进行设置),则就会锁定Key,导致Key无法使用,所以在设置Key的口令时,不要设置过于简单的数字,比如“123456”,“666666”等,这样的口令很容易尝试出来。虽然有口令的保护,但是如果你的Key丢失后,还是尽快进行挂失,以保证绝对的安全,否则网银的操作可能是数目比较大的啊。

  weixing_8888:养成良好的上网习惯

  使用网银已经很多年了,最开始的是民生银行的网银,因为是工资卡,为了能第一时间掌握工资的到账,所以就选择开通网银。当时开通网银的时候,记得有2种选择,一种是将数字证书下载到自己电脑里那种形式,可以免费办理。另外一种是将数字证书保存到银行给的U宝里,但是那个U宝需要另外花钱买,银行不会免费赠送,因为心疼银子,当时就选择了第一种形式的证书,这种形式的证书假如电脑系统重新安装之后证书就会被格掉,就算事先备份了证书,但是因为我是菜鸟级的水平,所以每次重新安装系统之后再导入证书时,总是失败,无奈之下就要去银行重新补办证书,经过了几次繁琐的折腾之后,痛下决心,购买了U宝,“U宝”,名字很炫,可是看上去和个U盘差不多,外壳是黑色的,长方形的,有点中规中矩的样子,不像现在民生的“章鱼U宝”“生肖U宝”那么时尚,虽然样子不怎么好看,但是用着也还方便,插到电脑上自动安装了U宝驱动,接着就弹出民生的网银登录界面,输入登录密码之后,弹出了一个框,选择证书,“确定”后输入U宝密码,再“确定”后就进入了自己的网银账户界面。

  之后还用过中信银行“USBKEY和中国银行的“动态令牌”,中信银行的网银安装了好多东西,什么“网银伴侣”“证书保管箱”“网银驱动”反正安装了好几个东东。中信的USBKEY相比民生U宝,问题会比较多,比如“每次重启电脑之后插入USBEKY时 电脑没有反应,正常是自动弹出中信的网银页面的,可是重新安装之后又恢复了正常”,有时候折腾半天都搞不定,给银行客服打过电话,也给USBKEY的厂家打过电话,最终的解决是在厂家的技术人员指导下找到问题原因的,原因是在用360安全卫士优化我电脑时将一个启动项给禁止启用,改为恢复启动后问题解决。中国银行的“动态令牌”使用就简单多了,拿回来之后电脑上基本没有安装任何网银驱动,使用的时候摁一下按钮就会显示登录密码,不过据说安全性没有USBKEY那种高,会容易被钓鱼网站诱导而导致资金被盗,幸好这种情况没有被我赶上。

  总之,使用过这么几年网银之后,还没有发生资金被盗用的情况,我觉得养成一个良好的使用网银的习惯尤为重要,个人可以分享:第一:使用插Key的网银,使用完毕之后要尽快拔掉Key,不要像U盘那样总是插在电脑上;第二:不要在网吧等环境复杂的场合使用网银;第三:手机收到比如网银要升级,需要您登陆网站以完成升级等等短信时要谨慎,事先可以给银行客服打电话询问,一般在银行卡上都有客服电话;第四:遇到问题自己解决不了时,可以给银行或者key的厂家联系以寻求专业的帮助。

  ora_eizo :USB Key与OTP区别之我见

  1、方便性:数字证书一般需要安装驱动

联系站长租广告位!

中国首席信息安全官