2 Y- E' o! z _" s$ ?4 U/ ?严格来说,动态令牌的安全性其实是不如短信动态口令的,短信动态口令是单次有效,而且注明了用途(登录、转账、支付),而动态令牌60秒有效,假设被木马或者钓鱼网站窃取,那么在60秒内,仍然可以登录受害者的网银并作汇款操作。因此光大对网银作了升级,汇款给陌生帐户时,需要再做短信动态口令验证。6 Y; R3 H. b) h& j, N
短信动态口令的威胁来自于电信运营商,内容可能在传输中被人截获,因此比较安全的方法是把短信动态口令和动态令牌串联起来用,通过短信动态口令发送一个随机种子并注明用途,在动态令牌上输入种子,通过内部的密钥计算得到验证码。现有的动态令牌用时间作为种子,因此时间长了以后会失步,因而有有效期的问题。, ~/ h2 B" T. }
有人说U盾更安全,其实U盾最早是用于软件正版验证的加密狗,用于正版验证还可以,这种交互式的网银就有木马远程操作的风险了,只要U盾没有拔下来,木马就可以远程转账,这个绕过U盾的风险在2009年的广州日报上就报道过,G行,Z行都有这样的受害者。因此工行的第二代U盾有了LED屏和确认按钮,但这个仍有一定风险,一是木马伪造网银界面诱骗客户按下确认按钮,很多木马都伪造QQ中奖信息,做到伪造网银界面也不是很困难;二是破解U盾驱动程序,模拟按下确认按钮(事实上并没有按下)。因此,在电脑可能中木马的前提下,必须和电脑物理隔离才可达到安全目标。9 L( k9 \! S, O
当然,避免木马也是一个提升安全的方法,在Windows平台不安全的前提下,不妨在Linux平台操作。但目前只有浦发的动态密码版网银才可完美兼容Linux平台,其它银行都用到了过时的ActiveX控件技术,因而只兼容Windows平台+IE内核的浏览器,甚至还挑IE版本,64位的往往用不了。为什么不用Java做控件呢?这样不就全兼容了?可惜啊,中国的开发人员思路被微软绑定太死了,欧美银行的网银都是真正全兼容的。 # I' D/ M1 _( w4 f 8 Q0 ]* k+ W6 n& `3 B
|Archiver|小黑屋|申请友情链接|内部邮件|我玩卡网 wowanka.com
( 冀ICP备11023231号 )
发表于 2012-4-6 04:26:36
