經(jīng)濟(jì)觀察報(bào) 記者 胡蓉萍 最近頻發(fā)的網(wǎng)銀詐騙案件使網(wǎng)銀使用的安全保障問(wèn)題再次成為當(dāng)下討論的熱點(diǎn)。

面對(duì)近期發(fā)生的多起相關(guān)案例，中行等涉案銀行已經(jīng)采取了不少措施，但其已持續(xù)兩個(gè)月的網(wǎng)銀動(dòng)態(tài)口令用戶網(wǎng)上資金被盜案件還在發(fā)生著。

中信銀行電子銀行部相關(guān)負(fù)責(zé)人2月16日接受本報(bào)采訪時(shí)建議網(wǎng)上銀行客戶多使用更有安全保障的Ukey，并在指定計(jì)算機(jī)和指定時(shí)間段來(lái)使用。

中國(guó)金融認(rèn)證中心(下稱CFCA)相關(guān)負(fù)責(zé)人對(duì)本報(bào)表示銀行動(dòng)態(tài)口令的認(rèn)證方式存在一定隱患，最好采取以Ukey數(shù)字證書為主的多渠道認(rèn)證方式，比如證書+動(dòng)態(tài)口令+手機(jī)驗(yàn)證的認(rèn)證方式，進(jìn)一步保證網(wǎng)銀用戶的交易安全。

中行E令夢(mèng)魘

據(jù)江蘇當(dāng)?shù)孛襟w報(bào)道，1月13日下午5點(diǎn)45分左右，南京市民許先生正準(zhǔn)備下班，突然收到一條手機(jī)短信：“尊敬的網(wǎng)銀用戶，你的中行E令將于次日過(guò)期，請(qǐng)盡快登錄www.bocvk.com進(jìn)行升級(jí)，給您帶來(lái)不便請(qǐng)諒解，詳詢95566(中國(guó)銀行)。

根據(jù)短信提示，他登錄了所謂的 “中國(guó)銀行”的網(wǎng)址www.bocvk.com，看到打開(kāi)后的網(wǎng)頁(yè)正是 “中國(guó)銀行”界面。他根據(jù)網(wǎng)頁(yè)提示，輸入自己的用戶名、密碼以及隨機(jī)產(chǎn)生的中行E令、身份證號(hào)等信息后，頁(yè)面顯示升級(jí)成功?？墒菦](méi)一會(huì)兒，當(dāng)他再次登錄自己的中行網(wǎng)銀賬戶時(shí)，發(fā)現(xiàn)賬戶上的101萬(wàn)元已被轉(zhuǎn)走。

某股份制銀行電子銀行部總經(jīng)理這樣比喻：這就好比許先生晚上回家，迷迷糊糊地走錯(cuò)了門，走到鄰居家去了，并用自己的真鑰匙去開(kāi)鄰居家的門。鄰居家的門鎖則記下了許先生的鑰匙形狀，復(fù)制了一把，再去開(kāi)許先生家門，則是暢通無(wú)阻了。

這個(gè)鑰匙就是E令卡。它還有個(gè)學(xué)術(shù)名稱叫做“動(dòng)態(tài)密碼”或“動(dòng)態(tài)口令”，英文名為OTP(OneTimePassword)，就是只能使用一次的密碼。其原理在于：它通過(guò)特定的計(jì)算方式在用戶處產(chǎn)生一個(gè)隨機(jī)變化的密碼，同時(shí)銀行處也能產(chǎn)生一個(gè)相同的密碼，用戶使用這個(gè)密碼登錄網(wǎng)銀時(shí)，兩個(gè)密碼相比較，若相同則表示已通過(guò)驗(yàn)證，用戶可以進(jìn)行下一步的操作。

因?yàn)閯?dòng)態(tài)密碼完全是隨機(jī)產(chǎn)生的，這與用戶自己設(shè)置的、每次都固定不變的靜態(tài)密碼相比，在安全上的確進(jìn)了一步。

事實(shí)上，在國(guó)外，因其被認(rèn)為方便快捷、客戶體驗(yàn)很好，動(dòng)態(tài)口令是網(wǎng)銀用戶使用最多的一種方式，當(dāng)然其網(wǎng)銀安全問(wèn)題也層出不窮。

民生銀行電子銀行部相關(guān)負(fù)責(zé)人向本報(bào)表示，E令有個(gè)致命缺陷，就是銀行端可以用這個(gè)密碼來(lái)辨認(rèn)用戶，而用戶卻無(wú)法使用密碼來(lái)辨認(rèn)自己登錄的是否就是正確的網(wǎng)站；而且動(dòng)態(tài)口令雖然一次一變，但這種變化仍然存在一定的時(shí)間周期，通常動(dòng)態(tài)口令在一分鐘內(nèi)都會(huì)有效。而就是這短短的一分鐘，給不法分子提供了可乘之機(jī)。

上述許先生的案例就是在其登錄網(wǎng)站輸入動(dòng)態(tài)口令時(shí)，不法分子便在后臺(tái)將用戶的賬號(hào)與動(dòng)態(tài)口令數(shù)據(jù)攔截，并且利用動(dòng)態(tài)口令在一分鐘內(nèi)有效的特點(diǎn)立刻登錄中行網(wǎng)銀轉(zhuǎn)走用戶資金。

數(shù)字證書PK動(dòng)態(tài)口令

據(jù)各大地方媒體報(bào)道，類似許先生的E令驚魂的案例在近期多達(dá)上百例。蘇州市民唐先生因?yàn)轭愃圃S先生的經(jīng)歷，其198萬(wàn)余元不翼而飛；杭州蕭山的錢先生銀行卡里，2萬(wàn)多元一下就縮水成了20多元……

工商銀行電子銀行部相關(guān)負(fù)責(zé)人表示，此前就認(rèn)識(shí)到了這種風(fēng)險(xiǎn)，通常將以動(dòng)態(tài)口令進(jìn)行的資金交易限定為小額交易，“一天不超過(guò)1萬(wàn)”

中行稱已與公安機(jī)關(guān)建立了打擊電子銀行犯罪活動(dòng)的聯(lián)動(dòng)機(jī)制，落實(shí)網(wǎng)上銀行增加“手機(jī)短信驗(yàn)證碼”以及在系統(tǒng)層面與第三方支付平臺(tái)聯(lián)動(dòng)控制等相關(guān)加固方案等防控措施，推進(jìn)落實(shí)數(shù)字證書在網(wǎng)銀高風(fēng)險(xiǎn)交易中的應(yīng)用。

上述中信銀行人士表示業(yè)內(nèi)應(yīng)用得更廣泛的、安全保障程度更高的是數(shù)字證書，它與動(dòng)態(tài)密碼相比在安全保障上更具優(yōu)勢(shì)。

數(shù)字證書是一段包含用戶身份信息的電子文件，通常被存儲(chǔ)在UKey，比如工行的“U盾”、民生銀行的“U寶”建設(shè)銀行的“E盾”、農(nóng)行的“金E順”華夏銀行的“U盾”等。

用戶在申請(qǐng)數(shù)字證書時(shí)，首先會(huì)有一個(gè)類似網(wǎng)上公安局的證書發(fā)放機(jī)構(gòu)對(duì)申請(qǐng)人的身份進(jìn)行確認(rèn)，因此Ukey證書就像是用戶的“網(wǎng)絡(luò)身份證”，用戶登錄銀行網(wǎng)站進(jìn)行交易時(shí)，在電腦上插入U(xiǎn)key，向銀行亮出這個(gè)“網(wǎng)絡(luò)身份證”后，銀行就可以辨認(rèn)出是否是正確的用戶。

此外，UKey證書中還包含另外一段由用戶獨(dú)有的私密數(shù)據(jù)信息，這種信息就像用戶的指紋、虹膜一樣，只由用戶自己所特有，并被固化在UKey當(dāng)中。

“用戶每次在網(wǎng)銀中交易時(shí)，銀行端都會(huì)讀取這些信息，用這些信息對(duì)交易信息進(jìn)行電子簽名，而電子簽名的法律效力是由國(guó)家頒布的《電子簽名法》來(lái)保障的?！鄙鲜鲋行陪y行人士表示。

民生銀行相關(guān)業(yè)務(wù)部門人士表示在這類案件當(dāng)中，如果用戶使用的是數(shù)字證書，而非動(dòng)態(tài)口令，那么網(wǎng)銀資金是不可能被盜走的，因?yàn)閁Key證書具有多重防護(hù)機(jī)制，可以很好地防止在這類案件中中招。

防范風(fēng)險(xiǎn)

盡管網(wǎng)銀安全問(wèn)題頻發(fā)，網(wǎng)銀還是以其比柜臺(tái)更加方便、快捷和高效吸引著越來(lái)越多的金融產(chǎn)品消費(fèi)者。

《2010中國(guó)電子銀行調(diào)查報(bào)告》數(shù)據(jù)還顯示：2010年，全國(guó)城鎮(zhèn)人口中，個(gè)人網(wǎng)銀用戶比例為26.9%，比2009年增長(zhǎng)了6個(gè)百分點(diǎn)；全國(guó)個(gè)人網(wǎng)銀用戶中，活躍用戶比例達(dá)到80.7%，比2009年增長(zhǎng)了4個(gè)百分點(diǎn)；交易用戶平均每月使用次數(shù)高達(dá)5.6次，高于2009年的4.8次。

如何保障網(wǎng)上銀行的安全使用，就顯得尤為關(guān)鍵。E令詐騙的案件出現(xiàn)后，銀行一般建議客戶首先報(bào)案，如果能被公安部門偵破，那么將是不法分子承擔(dān)責(zé)任，如果不能偵破，客戶投訴銀行的話，調(diào)解不成將對(duì)簿公堂，銀行一般會(huì)按照法院判決來(lái)執(zhí)行。

“其實(shí)客觀地說(shuō)，很多時(shí)候是客戶自己的識(shí)別能力存在問(wèn)題，銀行從嚴(yán)格意義上講是沒(méi)有責(zé)任的，但是法院在判決的時(shí)候往往會(huì)傾向于保護(hù)弱勢(shì)群體，銀行一般會(huì)彌補(bǔ)客戶一定的損失來(lái)安撫客戶?！蹦彻煞葜沏y行相關(guān)業(yè)務(wù)部門人士表示。

針對(duì)E令案件，公安部則建議在搜索引擎采取一定的措施，不讓非法網(wǎng)站出現(xiàn)在搜索頁(yè)面上。

一位民生銀行電子銀行部業(yè)務(wù)管理處人士則表示：“應(yīng)該在法律環(huán)境上多下一點(diǎn)工夫，比如加大對(duì)類似不法分子的打擊力度，同時(shí)要提升公安部門的偵破能力，與此同時(shí)，電信和銀行等機(jī)構(gòu)應(yīng)加大對(duì)客戶的教育和宣傳。

為打造放心安全的網(wǎng)上銀行交易環(huán)境，前不久民生銀行聯(lián)合太平洋保險(xiǎn)公司向新開(kāi)U寶客戶贈(zèng)送“個(gè)人網(wǎng)銀賬戶盜竊保險(xiǎn)”

“類似的保險(xiǎn)產(chǎn)品在國(guó)外已經(jīng)很成熟，這或許也是一種解決網(wǎng)上銀行目前存在的問(wèn)題的手段之一，”民生銀行相關(guān)業(yè)務(wù)部門人士表示。此外，工行電子銀行部相關(guān)業(yè)務(wù)人員表示，Ukey長(zhǎng)期插在某臺(tái)上網(wǎng)的電腦上，也會(huì)出現(xiàn)該電腦被黑客攻擊然后操作Ukey的可能。上述人士表示，基于這一安全隱患，工行推出了二代U盾，即在電腦上操作了之后，還需要在U盾上再次確認(rèn)，以確保安全。