随着网上银行功能越来越全,尤其是因为跨行查询、短信通知等服务项目开始收费,网上银行的用户数预期将有大的增长,部分不法分子也因此将其黑手伸向此一新的领域。
譬如说,在近期破获的一起网银案件中,犯罪分子攻破了一家小型的网上商店并窃取了该网站的客户信息,包括注册用户的用户名、密码和银行卡号等,而该网站的部分客户在该网站的密码和网银密码完全相同。虽然犯罪分子没有从该网站获得银行卡密码,但他们将银行卡号和该网站注册ID的登录密码逐一对接试验,成功找到了网银的密码,从而盗取了客户的资金。
不过用户不必为此谈虎色变乃至因噎废食。理财专家表示,网上银行的用户只要掌握了简单、正确的使用方法,网上银行的安全是完全可以信赖的。其中最简单的,就是不要使用电子邮件、网上社区、MSN、QQ等的密码当作网银的密码。
此外,目前包括工行在内的多家网银提供“双重密码”的设置方式,即登录密码和支付密码不同,即使登录密码泄露,不法分子只要没有掌握支付密码,也划不走钱。但遗憾的是,现实生活中时常有用户为了图省事和容易记忆,把登录密码和支付密码设置成相同的,从而使这种“双重密码”归于无用。
当然,除了用户自身需具备一定安全防范意识外,银行方面亦在积极提升技术水平,以适应电子商务发展的大趋势。银监会业务创新监管协作部主任李伏安表示,商业银行发展电子银行的首要问题就是安全,“既要从技术上、手段和方式上确保安全,还要提供加倍的安全服务,比如对密码的管理”。
以下简介一些银行在网银安全方面推出的新招数:
工商银行:酝酿推出动态密码
该行正在酝酿推出网银动态密码,网银使用者每次登录时输入的密码都不一样。动态密码的使用者将获得一张刮刮卡,上面有多个密码,均被涂层覆盖。
用户登录网银时,系统会提示“请输入**位置的密码”,使用者刮开相应位置的涂层,将该位置的密码输入。这个位置的密码用过一次即告作废。
交通银行:一次性短信动态密码
需要进行小额转账的用户,可到交通银行网点签约网上银行,通过注册设置太平洋卡每日转账限额和预留注册手机号后,设置每日0至5万元的转账限额。转账确认时,用户需要输入短信动态密码。通过网络发送给客户的一次性短信动态密码,无法在互联网上被截取,从而保证客户资金账户的安全。
需要经常进行大额转账的用户,可到交通银行网点签约网上银行,通过注册设置太平洋卡每日转账限额和购买USBKEY后,可以进行“卡卡转账”。用户可以根据自己的需要设置的每日转账限额为0至100万元。
数字证书存放在USBKEY中,不可进行复制,客户登录和进行转账类交易时,需要使用USBKEY并输入保护PIN值,转账时需要进行数字签名,从而保证客户的网上银行交易安全。
浦东发展银行:两种安全保障手段
该行提供数字证书、动态密码两种安全保障手段。前一种方式为:按照银行交给用户的密码信封,在网上银行“证书下载”页面上输入信息,就能将证书下载到用户的计算机里,或者装在形似U盘的芯片中随身携带。
用户在网上银行进行操作时,证书会形成电子签名附在其发给银行的交易指令上,从而使银行能够认定使用者的身份,使他人无法破解、修改用户和银行间互相传递的信息。
而动态密码方式是,通过网上银行进行汇款、投资(例如银证通、外汇宝、基金)、融资(例如贷款)时,该行会向用户的手机上发送短信,告之一个一次有效的密码,或者提示其查看该行交给的包含上百个密码的卡片,在对应位置找到此次适用的密码。这样一来,用户就在查询密码、交易密码之外又多了一重保障,而且,由于这个密码每次都不同,彼此之间毫无规律,黑客即使窃取了,也无法对用户造成伤害。
汇丰银行:两道密码的双重认证
该银行的网络银行用户都需强制使用动态密码机,第一次申请机器免费,除了以使用者代号、自设密码登录外,需再输入动态密码机上的1组动态密码,每位客户都有自己专属的密码机,因此银行可由这组动态密码确认账户为本人使用,从而产生两道密码的双重认证。
此外,该行实施的动态密码仅供1次使用,6位数字的动态密码,将在16秒自动消失,可以避免密码遭窃。