浏览 535 次
|
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
时间:2008-07-17
各大银行基本上都有了网上银行。
网上银行基本上都有USB证书方式。USB证书方式应该是必要的。 中国银行的网银用了一种动态口令发生器。每隔一段时间变一次。比较好奇这是一种什么样的机制。 (1)服务器产生动态口令,发给动态口令发生器。这个需要无线通信。还需要加密。密闭屏蔽环境中无法使用。 (2)动态口令发生器自己带有生成逻辑,和服务器的生成逻辑一致。而且保持同步。这个比较难。主要是时间同步问题。 总之,我感觉,动态口令方式,只应该作为辅助方式。 USB证书保证了只有证书持有人才能够登录。其他人不能登录。 工商银行的登录,不需要USB证书。只有转钱的时候,才需要USB证书。这虽然一定程度上方便了查询。比如,几个可信任的亲友没有USB证书,也可以查看账户。 这种方式有一种比较邪恶的使用方式。比如,如果 A 知道 B 的银行帐号,并且知道 B 在使用网络银行。A 虽然不知道B的密码。但是 A 可以每天都用错误密码登录B的网银帐号。每次都可以锁住B的帐号24小时。这样,就会给 B 带来很大麻烦。 当然,B 可以报案。也许可以根据IP记录找到A。 工行的一个出色之处,在于转账时候的验证码。工行的验证码越做越好。 验证码在银行账户的特殊颜色标志出来的数字,很难用程序识别。 关于密码保护。软键盘是不错的。间谍软件只能通过截图和判断坐标的方式记录密码。 特殊的密码ActiveX控件也是不错的。间谍软件很难攻破特殊的ActiveX控件。 声明:JavaEye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
|
| 返回顶楼 | |
|
时间:2008-07-18
1、据了解,动态口令采用的就是楼主说的第2种机制,所以动态口令发生器会有一个容错时间。
2、目前通讯层和服务端安全方案都已非常成熟了,网上银行最大的安全弱点在客户端,所以网银的安全性其实是由使用者本人决定的。 |
| 返回顶楼 | |
|
时间:2008-07-21
有道理,不知道建设银行的UKey有啥用?
|
| 返回顶楼 | |
|
时间:2008-07-21
有道理,不知道建设银行的UKey有啥用?
|
| 返回顶楼 | |
|
时间:2008-08-14
lz关于动态口令(动态令牌)的理解有偏差,请参照ras.com。银行内部设计核心系统的审计目前大多采用这种方式,因成本太高,不适宜推广到普通网银用户。
希望未来能普遍实现。 |
| 返回顶楼 | |
|
时间:2008-08-15
这方面经验不多, 对这方面比较感兴趣.
|
| 返回顶楼 | |
|
时间:2008-08-18
其实浦发的动态手机密码也是一种很好的解决方案!
|
| 返回顶楼 | |
