網上銀行在中國雖然還是一個比較新的概念，但已成為電子商務的最重要一環。去年以來，大量關于網上銀行被盜的報道屢見報端，不法分子通過竊取用戶的帳號和密碼大肆盜竊資金或冒名消費。所以，如何保證儲戶的資金安全，一直是各家銀行最關心、也最頭疼的問題。隨著木馬、黑客、釣魚網站等網絡風險的越發泛濫，網銀安全也變得越來越引人注目。

??? 首先我們要弄清一個問題，什么樣的網上銀行才算安全呢？也許你會說，最安全當然是資金絕對不會被盜。但事實上，電腦是不懂“盜”與“合法”的區別的，它只會按預定規則執行，只要有人發出符合規則的指令，它就會按程序執行。所以，如果你想真正實現絕對不被盜，除非你自己也無權操作。最安全的網上銀行，應當是指外人無法騙過電腦，不能讓銀行系統把別人誤認成你，包括身邊人和銀行的網絡管理員在內。（當然了，如果管理員的權力大到能夠直接修改數據庫，那恐怕上帝的帳戶也無安全可言了。）

??? 那么，我們當前正在使用的安全技術究竟能否保證用戶的合法權限不被人冒用呢，且聽我一一道來。

一、口令篇

??? 口令的使用由來已久，但木馬的泛濫卻讓我們難以放心。據了解，從有木馬的那天起，鍵盤記錄便一直是必備功能。我們在輸入帳號密碼的同時，網絡那頭的“牧馬人”也在悠閑地看著屏幕上的數字一個個彈出。后來出現的“網銀大盜”更是具有了智能記錄的本領，將黑客們從繁重的“盯梢”工作中解放了出來。

??? 為了解決鍵盤被記錄的問題，網上銀行紛紛推出了密碼輸入控件。這些控件使用了很多底層的驅動技術，可以在鍵盤按下的第一時間將鍵值捕獲，并偽造一個虛假鍵值傳給系統，從而使鍵盤記錄軟件失效。這聽上去不錯，但也并非無懈可擊，如果黑客修改“肉雞”的域名解析，將用戶引到一個偽造頁面上去，那就可以輕易繞過控件的限制了。更何況，并非只有銀行才擁有這種驅動技術，只要黑客愿意，他完全有可能將木馬的優先級提到比銀行控件還要高。

??? 雖然口令的脆弱性已引起了很多銀行的注意，但目前仍有一些服務是采用這種安全手段的，尤以 信用卡領域為甚。雖然各銀行都說這是與國際接軌，但在真正建立起與國際接軌的ChargeBack規則之前，這種風險還是少冒的好。

二、數字證書篇

??? 有些銀行采用數字證書作為用戶的身份識別方式，如招商銀行的“專業版”等。這是一種比較先進的非對稱加密技術，客戶端用私匙對指令進行加密，服務端則通過公匙對收到的信息進行解密，如果私匙不正確，服務端就只能看到一堆亂碼。

數字證書

??? 不過，只要是在內存中運行的東西，都不能保證絕對安全。如果你不幸被黑客盯上，他完全有可能通過Dump的方式將你內存全部拉回去進行分析，雖然解密私匙是件相當耗時的事情，但如果你帳戶的資產足夠多，這還是值得的。所以這種證書只推薦小額賬戶使用，企業用戶還是建議使用其他更安全的方式。

?

三、動態密碼篇

??? 動態密碼是一種雖然原始，但比較安全的做法，目前主要有“電子口令卡”、手機短信驗證和動態密碼鎖三種。動態密碼的實質是密碼與計算機的分離，在執行交易時，用戶不僅需要輸入帳戶密碼，還需要輸入一個來自外部的動態密碼。這樣一來，即使黑客在用戶的機器上種了木馬，也無法在密碼使用前將其獲得，而且由于外部密碼是一次性的，所以等黑客得到它時，密碼已經失效了。

??? 市面上最常見的動態密碼應當是以工行為代表的“電子口令卡”。用戶在交易時，系統會給出兩個坐標，用戶從手中的口令卡上查到坐標對應的數字并填進去就可以了。理論上，這些坐標可以有6400種組合，所以黑客是很難猜準的。然而，這個東西的缺點也很明顯——防不住家賊，現在照相手機那么流行，如果有人趁你不備將卡片偷拍一下，你的帳戶就無處遁形了。

電子口令卡

??? 手機短信驗證是一款比較有中國特色的產品，每次交易前，由系統將驗證碼以短信的形式發給用戶，從而實現動態密碼的功能。這種方式比“電子口令卡”要安全一些，但發送短信需要一定的成本，用戶又不愿負擔，所以各銀行往往只對大客戶開放，短期內尚難進入尋常百姓家。而且，現在手機卡也并非不能復制，根據網上搜索的消息來看，手機離身超過5分鐘，就有可能被復制了，所以這也不是一種理想的安全手段。

動態密碼鎖

??? 目前最安全的動態密碼是動態密碼鎖，這是一種專用的硬件設備，會隨時間和帳號的不同而生成不同的動態密碼，而且硬件不可復制，一旦丟失可立刻向銀行通報，從而保證資金安全。不過，由于動態密碼鎖是單匙加密，亦即服務器和客戶端采用了同樣的加解密算法，所以不具有雙匙加密那樣的不可抵賴性，一旦資金失竊，很難分清到底是銀行的責任還是用戶的責任。

四、USB Key篇

??? USB Key其實就是原來用于防軟件盜版的加密狗，它是一個獨立的計算單元，可以將傳入的信息加工處理后再返回來。如果將數字證書放在里面，就從根本上杜絕了黑客竊取私匙的可能。而且，USB Key同樣具有不可復制的優點，成本也較低，所以受到各家銀行的推崇，工行的U盾，招行的UKey都是這種。

USB Key

??? USB Key幾乎是一種完美的安全手段，但還不算銅墻鐵壁，因為它不具有一次性密碼，已經通過木馬等技術拿到帳戶密碼的人還是有可能偷走USB Key，并搶在掛失前轉走大量資金的，如果能再配合手機短信等動態密碼，那可真是黑客們的夢魘了。

??? 后記：縱觀網銀安全的發展歷程，其實就是一部軟件加密技術的發展史。從我第一次使用計算機時起，就有很多軟件會不時彈個窗口要求輸入說明書上的某個字，這應當就是最早的“電子口令卡”了。近些年來，雖然加密技術不斷翻新，但盜版卻從未因此而停止，所以任何技術都不是萬無一失的。在銀行方面積極采用新技術的同時，各位用戶也要注意提高自己的安全意識，只有這樣，黑客們才會無機可乘，一個理想的網銀體系才會出現在我們面前。

總結

以上是生活随笔為你收集整理的网上银行安全手段面面观的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。