動態密碼能保證網銀安全嗎？

網上銀行的出現使我們可以在家裏用手指就可以完成過去需要在櫃臺排隊的事情，不僅方便了普通用戶，也大大提高了金融機構的運營效率，降低了其運營成本。然而，網上銀行也難逃網絡普遍面臨的安全威脅。從網銀業務開始，網銀大盜就壹直伴隨著妳。網上銀行系統可以分為三個部分:銀行服務器、網絡和客戶端。近年來，網上銀行安全事故經常發生，國內各大銀行也在不斷升級自己的系統，服務器的安全性已經極高，因此竊賊更多地將註意力集中在大量信息安全意識良莠不齊的用戶(客戶端)身上。需要用戶操作的用戶身份認證，成為了網銀這個“雞蛋”上的壹個裂縫，備受竊賊青睞。自從采用動態密碼技術後，人們再也不用費心去記密碼和擔心特洛伊攻擊了。但是，動態密碼能像我們希望的那樣為網銀提供安全保障嗎？其實隨著動態密碼的普及，它的缺陷也越來越暴露在大家面前。例如，“刮刮卡”有固定數量的密碼。除了定期更換的不便，更重要的是它的安全隱患:如果妳長期收集信息，有可能收集到所有的動態密碼，完全破解這種刮刮卡形式的動態密碼，甚至復制或竊取那張小紙片，也有可能冒用用戶的身份信息。從網銀交易流程來看，動態密碼只是認證用戶身份，並不驗證交易流程。用戶身份確認後，“中間人”攔截用戶的轉賬操作，篡改數據並發送到服務器。但是，服務器無法區分向其發送轉賬指令的是用戶還是特洛伊馬，直接執行轉賬。“中間人”然後偽造服務器返回的信息，並顯示給用戶。這樣，“中間人”就可以輕松繞過動態密碼，獲取用戶的個人認證信息，完全控制交易。而動態密碼成為名存實亡的“保鏢”，並不能真正保護用戶賬戶的安全。壹系列實際案例也證明，動態密碼並不能鎖定用戶的賬戶。真正的“安全門”中國金融認證中心總經理李曉峰先生認為，要完成壹個安全的交易，交易雙方不僅要有身份認證，還要有保密、完整、不可更改的數據，交易必須是不可否認的。壹旦與銀行發生交易糾紛，這些都是必要的法律依據。所以網上銀行壹定要有真正可靠的法律認可的電子簽名和證書，這才是解決問題的最終辦法。同樣采用雙重認證技術，帶智能卡芯片的USBKey數字證書由於采用公鑰系統(PKI)並支持電子簽名，安全性更高。由於USBKEY是壹個獨立的硬件設備，新壹代USBKey還增加了交易認證技術，釣魚攻擊者無法偽造用戶的簽名，冒充用戶登錄服務器，無法篡改用戶的交易數據，從而抵禦針對交易而非身份的攻擊，如“交易偽造”或“交易劫持”。什麽是動態密碼？動態口令也稱為動態令牌和動態口令。其主要原理是:在用戶登錄之前，根據用戶的私有身份信息，引入隨機數生成隨機變化的密碼，使每次登錄過程中傳輸的密碼信息不壹樣，從而提高登錄過程中用戶身份認證的安全性。因為密碼每次都是變化的，即使獲取了密碼也沒用，而且這個動態密碼是通過特殊算法生成的，隨機性很強，很難破解。因此，動態口令大大提高了用戶身份認證的安全性。2007年，銀監辦發[2007]134號通知，通知各商業銀行對所有網銀高風險賬戶統壹使用雙重身份認證。因此，動態密碼(OTP)逐漸進入公眾視野，並被銀行強烈推薦。吉希