日志
【前注】:此文于2009/11/24原发 文学城,《谈:网上银行安全(二)--- 技术问题》。上接《谈谈网上银行安全(一)---引子》
在安全方面,《谈谈网上银行安全(一)---引子》涉及到的三代电子银行,Screen Phone,PC Banking,和Internet Banking,其实是面临同样的问题,即:一,入口的安全;二,传输的安全。
先说传输的安全。Screen Phone 是通过电话线,PC Banking任何运作是通过软件,我们无从知晓,都假定他们安全,不予讨论。
Internet Banking,是通过https协议,即加密的,或安全的http协议来完成的。作为一个基本知识,所有网络传输,都是通过http协议来完成的。但是,在用http协议传输时,在传输过程中,传输数据是可以被被人‘看到’或截取的。那么,https协议是一种加密的http,作为银行,或信用卡等资料的传输,是必须要用的。
所以,作为一个判别,我们在用任何银行,或网上交易时,你必须确定看到你链接所用的是https协议而非http,否则,那一定是个假银行或伪商家!
再说入口的安全。对三代电子银行来说,传统的都是用:name/password,或中文:用户名/口令 来作为你的入口识别。PC Banking现在还有加上更多的识别方式:
有的银行再加一个动态密码,给用户一个token,用它可以产生一个随时可以变化的密码,这个变化的密码只用于一个特定客户,银行可以辨别。那么,就算客户的用户名/口令 丢了(如计算机被黑,或你写在钱包里,钱包被盗),别人也无法进入你的账户,因为你的动态密码,他永远不会知道。美国许多银行用动态密码,如花旗银行,纽约银行等,中国,中行用。
还有的银行再加一个独立证书,用户建立网银时,到银行做一个证书,下载到一个USB,中文叫U盾上,当客户转账时,必须把这个U盾插上,否则无效。那么同样,就算客户的 用户名/口令 丢了,别人没有你的U盾,也无法进入你的账户。中国,工商银行用U盾。
还有的银行,当你注册网上银行时,除了你的 用户名字/口令 之外,还锁定了你用的电脑(用 MAC Address),这也是一种安全保障。如你在另外的电脑进入你的帐户,就还会问一大堆其它的安全问题。
在信用卡交易时,要求客户输入卡好后面的三位数,这个数字,印在你的卡上。如果你的卡没丢,就算客户的用户名/口令丢了,别人仍无法进入你的帐号。
好,作为一个总结,如果你的用户名/口令不丢,你的网上银行,不会被别人盗取;如果你的 用户名/口令(包括动态口令等) 正确,而且用的是https协议,你的网上银行应该是安全的。这是我,至少,在美国的经验。多年来,没有任何担忧。
那么,为什么能相信美国银行,而你又如何保证你的电脑不被黑,你的网银用户名/口令 不被盗,请看(谈谈网上银行安全(三)--- 美国的经验)。
谈谈网上银行安全(四)--- 中国的经验
