熙雅 发表于 2010-4-6 20:53

网银动态密码存两大安全隐患 易被假冒

对于多个网页使用同一个口令相当于在互联网时代对于你的家、汽车和银行保险存储箱都使用同一把钥匙。

尽管使用通用的口令能够让网络犯罪分子一次切取一个人的所有的敏感数据,但是,在接受调查的互联网用户中有一半的人对自己所有的在线账户都使用同一个口令。Accenture咨询公司对美国和英国的800人进行的一项调查显示,88%的人表示个人不负责任是造成身份证盗窃和诈骗的主要原因。这篇调查报告将在本周四发布。

研究人员称,这些调查表明许多人低估了有组织的犯罪团伙日益增长的威胁。这些犯罪分子通过销售偷窃的身份证渠道获得了巨大的利益。

Accenture全球安全实践部门高级官员Robert Dyson说,许多人认为设同一个口令没有问题。还有一种逃避现实的情况:我的身份证没有被盗。我不知道任何人的身份证被盗。因此,这种事情不会发生。

Dyson说,重复使用一个口令的问题是使成功突破一个账户的黑客能够轻而易举地猜出如何进入这个用户的其它账户。

许多用户重复使用一个口令是怕忘记这些口令。70%的英国受访者表示,他们不把口令写下来。49%的美国受访者不把口令写下来。只有7%的受访者表示他们经常改变口令,使用口令管理软件或者指纹阅读器访问他们的机器和账户。近年来,国内多次发生“假冒网站”以及客户资金被盗案件,凸显网银安全性问题。

为了提高安全性,一些银行通过“动态密码”或“动态口令”验证网银用户的身份,如发给客户一张印有一组数字或字母的卡片,使用时按照一定的规则输入其中一组,下次使用再输入另一组。此外,让客户购买专门传发密码的电子器件,每按一次按钮就可以生成一个密码,或者将一次性密码通过手机短信的方式发给客户等方式,在应用中也比较常见。

“动态密码”使用方便,但它只适用于金额小的交易,对于金额大、使用频繁的用户,其安全性并不理想。目前“动态密码”隐患主要有两类,一是以病毒等为主的系统安全风险,目前还未形成规模;二是身份风险,目前大多数案件都来源于此。身份风险又分为银行方面的身份风险和用户方面的身份风险,如“网上钓鱼”案件,是银行的身份被仿制,用盗窃的账户密码进行盗窃,是因为个人的身份被仿制。

据有关专家介绍,遭遇病毒和黑客的攻击时,一旦用户输入“动态密码”并通过网络传送,位于用户与网银服务器通信通道间的黑客便可通过键盘监听、内存读取等方式将其截获,使用户无法完成登录,并造成网络连接断开、连接超时等假象;另一方面黑客利用截获的“动态密码”假冒用户登录到网银,肆意作案,使用户蒙受损失。

此外,通过“动态密码”登录的用户没有电子签名,这样也就没有具有法律效力的认证材料,一旦出现纠纷,用户的合法权利将不受保护,同时也给银行带来一定的风险。
页: [1]
查看完整版本: 网银动态密码存两大安全隐患 易被假冒