1、網(wǎng)上銀行身份認(rèn)證情況的調(diào)查及建議當(dāng)前，由于互聯(lián)網(wǎng)的飛速發(fā)展，各種互聯(lián)網(wǎng)題材也不斷顯現(xiàn)， 諸如互聯(lián)網(wǎng)購(gòu)物，互聯(lián)網(wǎng)交各種生活費(fèi)用等業(yè)務(wù)創(chuàng)新層出不窮， 互聯(lián)生活已成為當(dāng)前群眾生活不可缺少的一部分，而這一切的產(chǎn)生，非常重要的一個(gè)環(huán)節(jié)，是銀行推出的網(wǎng)上銀行服務(wù)，銀行的 網(wǎng)上銀行安全關(guān)系互聯(lián)生活的安全， 而網(wǎng)上銀行安全最主要的安 全措施就是在客戶身份認(rèn)證上做功夫。結(jié)合高要地區(qū)實(shí)際，在高要經(jīng)營(yíng)的銀行主要是國(guó)有四大銀 行、廣發(fā)銀行和本地的高要農(nóng)商行，而根據(jù)我們了解，基本所有 銀行的網(wǎng)上銀行身份認(rèn)證都是一致的，主要有以下幾種：一、簡(jiǎn)單的大眾版網(wǎng)上銀行，只需自行或在柜臺(tái)開通網(wǎng)上銀 行，通過(guò)觀察，各銀行采取的都是網(wǎng)

2、上銀行登錄密碼認(rèn)證，只要 客戶在網(wǎng)絡(luò)上輸入自已開戶或首次登錄時(shí)設(shè)置的密碼，輸入正確后就認(rèn)證通過(guò)，就可以登錄到網(wǎng)上銀行進(jìn)行查詢賬戶的操作，這種認(rèn)證方式簡(jiǎn)單，安全性也最差，只要騙子或黑客知道客戶的登 錄密碼就可以對(duì)客戶的賬戶相關(guān)信息進(jìn)行查詢，此類認(rèn)證方法既然不安全，當(dāng)然銀行在網(wǎng)上銀行開放的功能也是有限的，基本上只限于查詢賬戶信息或明細(xì)，充其量也只能進(jìn)行客戶自身?yè)碛械?賬戶之間進(jìn)行轉(zhuǎn)賬等簡(jiǎn)單的、風(fēng)險(xiǎn)性較小的操作。二、短信口令或靜態(tài)口令卡，短信口令，故名思議就是在操 作網(wǎng)上銀行時(shí)，通過(guò)給客戶預(yù)留的手機(jī)號(hào)碼發(fā)送動(dòng)態(tài)密碼的方式進(jìn)行身份認(rèn)證，這種驗(yàn)證方法比簡(jiǎn)單的登錄密碼身份認(rèn)證驗(yàn)證多 一了重的安全保障，但其

3、安全性依然不夠，因此多數(shù)銀行對(duì)該種 認(rèn)證方式提供的功能雖然比較齊全，但基本限于轉(zhuǎn)帳金額小， 或風(fēng)險(xiǎn)性較低的網(wǎng)上銀行操作。 存在的風(fēng)險(xiǎn)主要如下：一是客戶由 于丟失手機(jī)卻沒(méi)有及時(shí)掛失而導(dǎo)致短信口令泄露而存在的風(fēng)險(xiǎn)， 其次是由于網(wǎng)絡(luò)黑客通過(guò)竊取客戶手機(jī)號(hào)碼的密碼從而盜取客 戶短信口令或通過(guò)在客戶手機(jī)上安裝軟件實(shí)施盜取客戶短信口 令而導(dǎo)致的風(fēng)險(xiǎn)。舉個(gè)最近的典型的例子來(lái)說(shuō)，來(lái)自網(wǎng)易新聞的報(bào)道： 2015年 7 月 8 日，微博網(wǎng)友“公交姬”在微博上吐槽，今年 2 月，他發(fā)現(xiàn)自己的銀行卡總是被人莫名其妙地輸錯(cuò)密碼凍結(jié)， 可他的卡一直都在自己手上，也從來(lái)沒(méi)有泄露過(guò)卡的信息。近日，他多次收到運(yùn)營(yíng)商發(fā)來(lái)的“短信

4、保管箱”業(yè)務(wù)的訂購(gòu)短信，雖然立即聯(lián)系客服取消了這項(xiàng)業(yè)務(wù)并修改了賬號(hào)密碼， 仍收到了數(shù)十條來(lái)自各個(gè)消費(fèi)網(wǎng)站發(fā)來(lái)的各種驗(yàn)證碼短信， 同時(shí)銀行卡被不法分子盜刷， 損失超過(guò) 1 萬(wàn)元。 而他被盜刷的銀行卡為在工商銀行開辦的儲(chǔ)蓄卡。不過(guò)，這并不是個(gè)案，據(jù)當(dāng)?shù)孛襟w報(bào)道，北京地區(qū)多位儲(chǔ)戶遇到類似情況， 有類似經(jīng)歷的受騙者在社交工具上成立交流群，規(guī)模近20 人。一時(shí)之間，工行“工銀e 支付”有重大漏洞的說(shuō)法傳開。針對(duì)儲(chǔ)戶資金通過(guò)快捷支付被盜一事，工行方面20 日表示，工銀e 支付業(yè)務(wù)運(yùn)營(yíng)正常，也未發(fā)生泄露客戶信息的情況， 儲(chǔ)戶資金被盜主要是由于其預(yù)留的手機(jī)被強(qiáng)行開通了中國(guó)移動(dòng)的“短信保險(xiǎn)箱”業(yè)務(wù)，不法分子盜取

5、儲(chǔ)戶動(dòng)態(tài)密碼，進(jìn)而通過(guò)快捷支付盜取資金。工行在公告中表示， “近年來(lái)，多家支付機(jī)構(gòu)和商業(yè)銀行都推出了基于手機(jī)短信驗(yàn)證的快捷支付業(yè)務(wù)， 這種小額支付方式方便快捷， 受到了客戶的廣泛歡迎。 我行的工銀e 支付業(yè)務(wù)也屬于這種快捷支付業(yè)務(wù)，該業(yè)務(wù)開通時(shí)需要驗(yàn)證客戶預(yù)留在我行的密碼和手機(jī)號(hào)碼， 支付時(shí)需要驗(yàn)證我行向客戶預(yù)留手機(jī)發(fā)送的短信驗(yàn)證碼。 只要客戶保管好手機(jī)上的短信， 安全性是有保障的。 現(xiàn)在社會(huì)上一些不法分子利用非法手段竊取客戶個(gè)人信息和認(rèn)證短信， 以盜取客戶資金。 為安全使用工銀e 支付業(yè)務(wù)，我行提醒廣大客戶務(wù)必保管好個(gè)人信息、密碼，防止手機(jī)被植入病毒，防止認(rèn)證短信被盜取。 ”工銀 e 支付每

6、日累計(jì)支付的最大限額是1 萬(wàn)元， 每月 5 萬(wàn)元。 中國(guó)人民大學(xué)重陽(yáng)金融研究院客座研究員董希淼認(rèn)為，這個(gè)事件的主要責(zé)任在運(yùn)營(yíng)商身上。此案例主要是利用客戶的手機(jī)登錄密碼泄露被不法分子利用， 在網(wǎng)上幫客戶開通“短信保管箱”業(yè)務(wù)，實(shí)時(shí)查看客戶接收到的動(dòng)態(tài)口令，進(jìn)行盜刷的犯罪行為。靜態(tài)口令卡， 主要是通過(guò)網(wǎng)上銀行操作轉(zhuǎn)帳或其他業(yè)務(wù)時(shí)輸入口令卡中對(duì)應(yīng)坐標(biāo)的數(shù)字作為身份驗(yàn)證的方式， 而口令卡上的坐標(biāo)對(duì)應(yīng)的數(shù)字口令是不變的， 這種認(rèn)證方式相對(duì)于短信口令來(lái)說(shuō)雖然沒(méi)有被裝軟件竊取口令的風(fēng)險(xiǎn)， 但這種口令卡存在的風(fēng)險(xiǎn)也不小，比如口令卡丟失，又或者口令卡被人以照相方式竊取。目前銀行的靜態(tài)口令卡雖然有一層保護(hù)膜隱藏對(duì)

7、應(yīng)坐標(biāo)的數(shù)字口令，每需要使用一個(gè)坐標(biāo)對(duì)應(yīng)的數(shù)字口令時(shí)刮開查看，但使用一段時(shí)間后，口令卡上的保護(hù)膜基本上都被刮開了，然后客戶口令卡上的所有坐標(biāo)的密碼都暴露出來(lái)，就容易被人照相或其他方式竊取，比如說(shuō)，一個(gè)客戶的口令卡在刮開后，假如其沒(méi)有 保存好，被不法分子照相后，其動(dòng)態(tài)口令卡就基本上等于沒(méi)有一 樣了，不法分子可以利用獲取到的口令，通過(guò)網(wǎng)上銀行的認(rèn)證， 從而盜取客戶資金或進(jìn)行其他不法操作。三、動(dòng)態(tài)口令牌，每30秒隨機(jī)生成一個(gè)動(dòng)態(tài)口令，每個(gè)口 令只能使用一次。動(dòng)態(tài)口令牌是用來(lái)生成動(dòng)態(tài)口令的 終端設(shè)備， 也稱動(dòng)態(tài)令牌，即使客戶不慎外泄了登錄卡號(hào)和登錄密碼，只要保管好客戶手中的口令卡，使登錄卡號(hào)、登錄密碼

8、、口令卡不被 同一個(gè)人獲取，就能夠保證客戶資金的安全，從而讓客戶更加安全、放心地使用電子銀行。但只要令牌被盜也一樣會(huì)導(dǎo)致相應(yīng)的 資金風(fēng)險(xiǎn)。四、USB Key （簡(jiǎn)稱UKEY是一種USBg口的硬件設(shè)備。它內(nèi)置單片機(jī)或智能卡芯片， 有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶 的私鑰以及數(shù)字證書，利用 UKey內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身 份的認(rèn)證。這種UKEY-般設(shè)置有UKEY®石馬,USBKey比較安全， 但是USBKey并非絕對(duì)安全，也存在被破解的可能?？蛻粼谶M(jìn)行 轉(zhuǎn)帳或其他交易時(shí)，需要客戶輸入U(xiǎn)KE用碼以獲取UKE咕的證書而進(jìn)行身份認(rèn)證而確認(rèn)交易。早期的UKEY一般只需用戶輸入U(xiǎn)EKY密碼即可獲

9、取UKE訥的證書面通過(guò)身份認(rèn)證。最近幾年， 由于犯罪分子的犯罪手段提升，UKEY又發(fā)展出第二代，不僅簡(jiǎn)單需要客戶輸入 UKEY密碼碼驗(yàn)證，還需要客戶對(duì)網(wǎng)上銀行辦理 的的業(yè)務(wù)在UKEY勺液晶顯示屏進(jìn)行回顯，需要客戶在UKEY1的 物理按鍵進(jìn)行確認(rèn)。經(jīng)了解目前高要農(nóng)商行也采用這種最新的UKEY大大降低客戶風(fēng)險(xiǎn)。另外，據(jù)了解，還有一些是用組合的方式進(jìn)行身份認(rèn)證，如UKEY短信口令，動(dòng)態(tài)令牌+短信口令等等。綜上所述， 目前網(wǎng)上銀行的發(fā)展已經(jīng)相當(dāng)成熟， 目前各大銀行均根據(jù)不同的認(rèn)證方式的安全性對(duì)轉(zhuǎn)帳限額、 業(yè)務(wù)種類等作出不同的限制。據(jù)了解，在本地各大銀行中，對(duì)企業(yè)的網(wǎng)上銀行身份認(rèn)證為UKEYTT式的，有

10、些銀行已經(jīng)不對(duì)轉(zhuǎn)帳限額進(jìn)行限制或限制金額較大，基本上已滿足高要地區(qū)企業(yè)的所有資金轉(zhuǎn)帳需要， 以高要本地存款余額占本地市場(chǎng)份額最高及客戶數(shù)量最多的高要農(nóng)村商業(yè)銀行來(lái)說(shuō)， 其企業(yè)網(wǎng)銀轉(zhuǎn)帳限額單日、 單筆為 1 億元。而個(gè)人網(wǎng)上銀行的轉(zhuǎn)帳限額最高也已達(dá)到 1000 萬(wàn)以上甚至更高。另?yè)?jù)了解，除了目前各種技術(shù)手段的身份認(rèn)證外，高要農(nóng)村商業(yè)銀行還對(duì)網(wǎng)上銀行轉(zhuǎn)帳超過(guò)300 萬(wàn)的客戶進(jìn)行電話回訪核實(shí)，從另一方面更加保障客戶資金安全。根據(jù)我們對(duì)網(wǎng)上銀行身份認(rèn)證情況的調(diào)查，我們建議如下：一是繼續(xù)提高技術(shù)身份認(rèn)證手段， 除了客戶身份認(rèn)證手段上的技術(shù)手段， 還應(yīng)加強(qiáng)客戶平時(shí)網(wǎng)上銀行使用習(xí)慣去技術(shù)分析去認(rèn)證客戶身份，其一從客戶平時(shí)登錄 IP 地址分析客戶是否是本人操作，如客戶平時(shí)在肇慶地區(qū)的 IP 地址登錄網(wǎng)上銀行，突然登錄IP 地址變?yōu)閲?guó)外或其他離客戶平時(shí)登錄地區(qū)距離較遠(yuǎn)的地區(qū)，可以判斷客戶可能存在網(wǎng)上銀行身份認(rèn)證被盜風(fēng)險(xiǎn);其二是從客戶平時(shí)網(wǎng)上銀行轉(zhuǎn)帳習(xí)慣判斷客戶是否本人操作，例如客戶一般在網(wǎng)上銀行只進(jìn)行小額資金交易，突然進(jìn)行大額