网上银行的安全操作设计探讨
各大银行基本上都有了网上银行。
网上银行基本上都有USB证书方式。USB证书方式应该是必要的。
中国银行的网银用了一种动态口令发生器。每隔一段时间变一次。比较好奇这是一种什么样的机制。
(1)服务器产生动态口令,发给动态口令发生器。这个需要无线通信。还需要加密。密闭屏蔽环境中无法使用。
(2)动态口令发生器自己带有生成逻辑,和服务器的生成逻辑一致。而且保持同步。这个比较难。主要是时间同步问题。
总之,我感觉,动态口令方式,只应该作为辅助方式。
USB证书保证了只有证书持有人才能够登录。其他人不能登录。
工商银行的登录,不需要USB证书。只有转钱的时候,才需要USB证书。这虽然一定程度上方便了查询。比如,几个可信任的亲友没有USB证书,也可以查看账户。
这种方式有一种比较邪恶的使用方式。比如,如果A知道B的银行帐号,并且知道B在使用网络银行。A虽然不知道B的密码。但是A可以每天都用错误密码登录B的网银帐号。每次都可以锁住B的帐号24小时。这样,就会给B带来很大麻烦。
当然,B可以报案。也许可以根据IP记录找到A。
工行的一个出色之处,在于转账时候的验证码。工行的验证码越做越好。
验证码在银行账户的特殊颜色标志出来的数字,很难用程序识别。
关于密码保护。软键盘是不错的。间谍软件只能通过截图和判断坐标的方式记录密码。
特殊的密码ActiveX控件也是不错的。间谍软件很难攻破特殊的ActiveX控件。
相关推荐
luohui 2020-07-19
ahnuzfm 2019-12-17
SHIL 2019-12-14
gongruitao 2019-12-14
gongruitao 2019-10-31
付春杰Blog 2019-10-31
szqiangmei 2019-10-23
SugarNMS 2019-10-22
qinbiao00 2014-12-10
DigitalWings 2014-12-05
包包 2014-12-05
chh 2016-05-20
89374290 2015-11-26
czsong 2014-09-16
zhuyonge 2014-09-12
ChinaWin 2014-08-21
zhuyonge 2013-06-20