1、近来,一种薄如银行信用卡可以轻松地放在皮夹里,同时兼具信用卡和动态密码认证功能的卡片式令牌面世。只需按下按钮,卡的显示屏上就会产生新的一次性密码,透过这种双因素认证技术,金融机构可以更好地保护客户的在线金融交易安全。 一个看似不起眼的新产品,却传递出一个鲜明信息:一直在风险、拥有成本及便利性三者之间寻求最佳平衡的网银身份认证策略正迈出新步伐与银行的服务创新、渠道创新更加紧密地结合起来,由此,动态密码在网上银行、电话银行的应用将得到更广泛的普及。同时,银行卡的差异化创新也将从中汲取更多的灵感。 网银身份认证,期待安全与便捷统一近年来,我国网银用户数量发展迅速,但遗憾的是,比起中国的上网人数,其所
2、占比例并不高。究其因主要还是用户对网银安全的顾虑,此外,还有不少用户认为网银注册及网银身份安全认证手续太麻烦。 去年,银监会曾发布通告要求各银行加强用户身份验证管理,对所有网上银行高风险账户操作统一使用双重身份认证。这一通告意味着:对于银行来说,面对高风险网银交易,要么部署硬件 USB 数字证书,要么部署双因素动态密码认证等双重身份认证系统。然而,先进的科技并不能保证在消费者领域推广得更好。RSA 公司专家认为,硬件数字证书是公认的安全技术,也是被国内银行业大力采用的技术。 但是,其最大的问题是使用起来较麻烦,人们必须携带 USBKey,插入电脑后才能工作。此外,USBKey 的后台管理还存在
3、一些难题,如在运行电子证书服务时,管理员权限过大;不同银行的方案有所不同,用户需要熟悉各种不同的方案。 为妥善解决身份认证问题,银行的确提供了各种安全手段,但是,用户是否愿意使用才是安全手段能否发挥作用的关键。由于提供的服务导致网银用户不愿用或是少用,这都有悖于银行推出安全服务的初衷。动态密码 PK 网银大盗 :两种武器防病毒消息来源新闻晨报 尽管中央电视台“315”晚会曝光了黑客盗取网银密码的事件,但网银黑客依然猖獗,本报日前报道,有黑客在网上叫卖号称可破解 U-Key 的病毒,尽管专家表示,黑客破解 U-Key 的可能微乎其微,但不少网银用户依然担心,是否有更好的安全防范手段。记者昨向业内
4、专家了解,U-Key 和动态密码 两种工具,是目前业内普遍认可的技术含量较高的工具,尤其是动态密码,从物理上隔绝了与病毒的接触,网银大盗有心无力。 两种武器防病毒 接二连三的网银被盗事件,给人们敲响警钟,其中一个重要原因,就是在网络上病毒木马猖獗。网银用户在登陆网银时,传统的身份认证技术,是用户输入一个固定密码,认证中心通过用户数据库核定密码是否一致,来确认其身份。事实证明,这种固定密码的认证方式,在网络中使用很不安全。网络上病毒木马目前在技术上还不能有效阻止。因此在网络中,密码被盗是轻而易举的。 目前各银行采用的最高级别的网银安全手段,是 U-Key,有的银行叫 U 盾。U-Key采用精尖加
5、密技术,运用在网上个人银行中的新型移动数字证书(即数字证书存放在 U-Key 上) 。银行专家表示,只要 U-Key 在客户自己身上,即使密码被盗取,黑客也无法利用网银转账。 动态密码身份认证技术解决方案,逐渐引起业内的关注。动态密码也称动态口令字,每登陆一次产生一个新的密码。密码由机器不断变化产生,不需要记忆也不会搞错,每个密码仅用一次,黑客窃取了也无用,可有效解决密码被盗问题。这种身份认证方式,目前在中国银行和兴业银行应用。不过据了解,全球 500 强企业 80%以上,采用了动态密码身份认证技术,以保护企业信息资产安全;瑞士银行、花旗、汇丰、荷兰等境外金融机构,都采用动态密码身份认证技术保
6、护账户信息及资金安全。 动态密码有优势 U-Key 密码产品和动态密码 产品号称技术尖端,哪种登陆身份认证更安全?业内专家介绍,U-Key 证书是 USB 接口形式的硬件设备,可存放网银数字证书。使用时插入 USB接口,键入密码后,密码自动进行认证。其密码技术采用公钥体制也称非对称密钥体制。密码由机器不断变化产生,不需要记忆也不会搞错。 专家表示,动态密码最大的优点,是使用时无须联结电脑,因为动态密码与电脑完全隔离,完全抵制任何病毒和木马侵入。而目前已发现,如果木马病毒远程控制了用户的电脑,那么当 U-Key 插入电脑的时候,病毒也可以同时控制 U-Key。类似于用户为黑客插入 U-Key,黑
7、客可以任意动用账户资金。因此专家提醒,网银用户在用 U-Key 登陆之后,应实施监控账户变动,用完之后,应立即拔出,以防资金被盗。动态口令系统进中国应该很早了,最早国产化,应该是中科院信息安全实验室和 RSA 合作,在国内也有一些公司接下并开始生产,公司名字我都忘记了,一直到后来安盟和 RSA的合作,国内动态口令的厂家决不少于 50 家,包括军队在内都在做这个东西。 但是到了 2004 年前后,能在这个市场里成功的做正式的项目,而不是关系项目的也就RSA、SecureComputing 和安盟三家了,RSA 是自己玩,走代理,靠和很多软件内置了Agent 来打市场,SCC 主要是靠 PAS 在
8、中国做,安盟是打了场官司,让 RSA 不再找碴,从此放心在中国卖“盗版”(呵呵,个人观点,仅供参考,请各位不要拍我) ,不过客观的讲,安盟做过一些 Agent,反而是 RSA 没有的,所以也有创新在里面,应该鼓励。 这几家在电信行业争了个底朝天,企业客户不算多,后来又开始打金融的市场,盛大做传奇的时候希望找一家合作,结果价格不好,盛大找了个队伍自己做,就有了盛大密宝,很不巧,密宝被后来那位甘肃工作的老师搞了个“密宝终结者”弄的头破血流,在机制上对动态口令产生了严重的威胁,也使得在网络游戏中动态口令没有得到太过广泛的认可和应用。2007 年 RSA 被收购,EMC 看中的是 RSA 的非对称加密
9、技术,用来强化其在存储中的安全性,而 Token 作为 RSA 的小兄弟,并不能成为 EMC 的主流产品,其后续的发展堪忧。SCC 在 2007 也经历的复杂的兼并,产品的更新和开发基本停滞,最近三个大版本的没有什么变化,反而放弃了基于 Unix 的市场,也不好说其前景如何 安盟的近况不太清楚,不过,呵呵,很难说啦 VASCO 进入中国可实在是不顺,找了几个合作伙伴都不太成功,还是那么几个人困在上海的 office 苦思冥想 totas 拿了建行的单子,不过价格太低,好在在中国青岛好像有些研发,能够支持下去 其他的国货还有些在特定行业坚持着,不过我看离退市也不远了 可怜、可叹,中国的优秀动态口令产品不知道什么时候才能露出水面RSA 公司的中文网址http:/
