近期,不法分子针对网上银行的电子令牌(OTP)机制,通过设立钓鱼网站,非法盗取用户账户资金,案件频发,不仅给客户带来资金损失,而且也给银行的声誉造成负面影响。
频发的网银安全案件,在引起全社会上关注和广泛讨论的同时,再一次引发了"证书"和"令牌"这两大技术阵营的争论。
网银案件频发,令牌之过?
网银安全案件的集中爆发,使"令牌"机制饱受质疑,又引起了"证书"与"令牌"两大技术阵营的争论。
对此,我国电子商务领域知名学者,对外经济贸易大学信息学院陈进院长谈了自己的看法:"不能将这些网银案件,归咎于电子令牌机制。只要对这些案件稍加分析就会发现,问题并非出在令牌机制上。无论是证书还是令牌,都足以保障网银安全。"
目前,基于PKI技术的数字证书和基于密码技术的电子令牌,成为电子交易中主流的安全认证技术,都有非常良好和成熟的应用,本身并没有优劣之分。在网银交易中,采用基于动态密码技术的电子令牌,已经较使用静态密码的安全性有了大幅度提升。而且电子令牌操作简便、成本低廉,是非常理想的安全认证手段。同时,客户自己也要保持清醒,对自己账号、密码的安全性保持警惕意识和习惯,与安全技术形成双重安全堡垒,从而保障账户资金的安全,。
客户端是安全短板
基于长期对我国电子商务和电子银行发展的观察和研究,陈进院长认为,国内银行在打造包括网上银行在内的电子交易渠道之初,就非常重视安全问题,多年来投入了巨大的资金,通过非常完善的技术保障网银系统安全。
"银行在保护网银系统安全方面的工作是卓有成效的,银行端的安全是有保障的。"陈进院长继续分析道:"仔细分析各类网银案件就会发现,问题往往出在客户端。因此,保护好用户端安全,是安全使用网银的关键环节。否则,即使银行端安全性再高,也依然会出现这样或那样的问题。"
根据多年来公安部门侦办网银盗窃案件的综合数据,显示该类案件中98%都是由于客户端的安全出现了问题,从而导致客户信息或资金被不法分子盗取。由于很多网银客户的计算机知识有限,又缺乏防范意识,极容易为不法分子留下实施违法犯罪行为的空间。当然,这样说不是要将责任推给客户,为银行开脱责任,而是基于对该类案件分析后的一个结论。
就拿"网络钓鱼"来说,不法分子也是通过引诱客户自己在虚假网站上输入账户号和密码,进而达到窃取客户资金的目的。试想,如果客户能够一眼识破虚假网站,则不法分子就无法得逞。所以,虽然银行是网银服务的提供方,但网银安全并非银行一家之责。
重技术更要重教育
陈进认为,打造安全的网银,仅仅依靠技术手段是不够的,作为服务的提供方,银行还需要加强对网银客户的安全教育,使每一位网银客户都能时刻绷紧"安全"这根弦,才能避免网银案件的发生。
"网上钓鱼不是什么新事物,多年前就是不法分子盗取客户资金的一种手段。但不法分子通过网上钓鱼屡屡得手,说明我们的银行乃至全社会对客户的安全教育没有到位。"在肯定银行运用技术手段提升网银安全性的同时,陈进还着重强调了对客户的安全教育。
首先是银行应通过多种渠道加强对用户的安全教育和风险提示,提高客户的风险防范意识。同时,对于翻新的欺诈手段,需要及时提示客户,这样才能防患未然。如今,很多银行已经开通了手机短信息通知服务,在防范网银欺诈方面,手机短信息通知服务是比较好的手段。不过目前这一服务多为收费性服务,很多客户还没有形成"花钱买安全"的意识,陈进建议银行也需要考虑广大普通网银客户的利益,是否可以通过诸如信用卡刷卡消费减免年费的优惠方式,使更多网银客户享受这一服务。