网上银行身份认证与交易安全防范

　　在网上银行的开办初期面向普通大众方便上网之时，这种简单的登录方式是一种较好的方式。但是，黑客们很快就摸清了银行的这种简单认证机制，黑客的“假冒通知”、“网上钓鱼”、“木马程序”、“快乐的耳朵”等等，其目标只有一个，即在网上窃取用户的口令，而且制造起来极为方便。为此，《金融时报》在2005年4月发表了题为《网上银行应取蒂大众版》、国家信息安全测评认证杂志2005年5月号发表了《加强网上银行的安全防范》——《向“大众版”说不》的文章。其目的就是要提醒银行和客户，不要再推出和使用不安全的“大众版”和“普通版”。

　　基于安全考虑，多家银行都采取了动态口令，以保证网上银行的交易安全。动态口令与传统的静态口令相比具有以下优势：一是动态性。用户的动态口令随设定的时间或事件等变量自动变化，无须人工干预，某一时刻产生的动态口令不能在其他时刻使用。二是一次性。任一时刻产生的动态口令在其失效前只能被用户使用一次，否则，系统将视其为非法行为而报警。三是随机性。动态口令是随机生成、无规律的。即使本次口令被窃听成功，也难以由此猜出下次的口令。四是多重安全性。用户的动态口令令牌产生的动态口令与用户名、静态口令等多因素结合实现多重认证。即使电子令牌丢失，用户仍可在应急状态下利用用户名和静态口令进行用户身份认证。而其他非法持有者，单靠令牌无法实现登录及认证。五是通用性。用户操作的客户端无需增加任何软件，只需在提示输入动态口令时键入当时令牌上显示的口令。在认证服务器端，采用PPP、RADIUS等标准协议实现被访问对象与认证服务器之间信息交换，可方便地在网络环境下实现身份认证。六是可管理性。（刮刮卡除外）统一的身份认证方式和动态口令生成方式，能大大减小在分发密码、支持服务、密码丢失、密码更改及身份管理等各个方面的开销和成本。基于以上静态密码的缺陷和动态口令的优势，银行在重要的网上银行系统的“大众版”应取消静态口令。