S: Z6 q4 l# H' N
严格来说,动态令牌的安全性其实是不如短信动态口令的,短信动态口令是单次有效,而且注明了用途(登录、转账、支付),而动态令牌60秒有效,假设被木马或者钓鱼网站窃取,那么在60秒内,仍然可以登录受害者的网银并作汇款操作。因此光大对网银作了升级,汇款给陌生帐户时,需要再做短信动态口令验证。! C& ]) E5 A! m! N. J
短信动态口令的威胁来自于电信运营商,内容可能在传输中被人截获,因此比较安全的方法是把短信动态口令和动态令牌串联起来用,通过短信动态口令发送一个随机种子并注明用途,在动态令牌上输入种子,通过内部的密钥计算得到验证码。现有的动态令牌用时间作为种子,因此时间长了以后会失步,因而有有效期的问题。' M5 \+ J+ o0 }' t3 {
有人说U盾更安全,其实U盾最早是用于软件正版验证的加密狗,用于正版验证还可以,这种交互式的网银就有木马远程操作的风险了,只要U盾没有拔下来,木马就可以远程转账,这个绕过U盾的风险在2009年的广州日报上就报道过,G行,Z行都有这样的受害者。因此工行的第二代U盾有了LED屏和确认按钮,但这个仍有一定风险,一是木马伪造网银界面诱骗客户按下确认按钮,很多木马都伪造QQ中奖信息,做到伪造网银界面也不是很困难;二是破解U盾驱动程序,模拟按下确认按钮(事实上并没有按下)。因此,在电脑可能中木马的前提下,必须和电脑物理隔离才可达到安全目标。9 p0 o, ]4 l( l% c3 M. P
当然,避免木马也是一个提升安全的方法,在Windows平台不安全的前提下,不妨在Linux平台操作。但目前只有浦发的动态密码版网银才可完美兼容Linux平台,其它银行都用到了过时的ActiveX控件技术,因而只兼容Windows平台+IE内核的浏览器,甚至还挑IE版本,64位的往往用不了。为什么不用Java做控件呢?这样不就全兼容了?可惜啊,中国的开发人员思路被微软绑定太死了,欧美银行的网银都是真正全兼容的。
9 O6 B) R* m# I( ?" K
, ~8 m8 n8 k8 l- \+ }# i, g- C, K2 | |
|Archiver|小黑屋|申请友情链接|内部邮件|我玩卡网 wowanka.com
( 冀ICP备11023231号 )
发表于 2012-4-6 04:26:36
