|
|
本帖最后由 snowyleaf 于 2011-9-30 19:08 编辑
(申明:本系列讲座内容大量使用互联网公开文献,为便于理解可能会对原文内容、行文方式进行不同程度的修改。本系列讲座为的是普及科学知识,传播先进技术,不涉及任何商业成分。再此对所有互联网公开文献作者致以崇高的敬意!)
电子银行是一个比较新的概念,中国的电子银行大多是对现有银行专用网的延伸和对银行传统业务方式的补充,银行增加一些软、硬件设备,使得用户可以通过家用电脑连接银行系统,进行各种普通的银行业务,以弥补传统银行业务中营业网点少和营业时间短的不足。
起初,电子银行仅仅只是电话银行、ATM。那时候的安全性问题似乎并没有引起太多的关注,部分银行通过设立电话银行专用密码或者制定交易用电话的方式为高级用户提供着完善的保护。
然而随着网上银行的兴起,安全性这一的问题才受到了大家的密切关注。
第1代网银:最传统的“大众版”网银
这种网银在信息通讯上的安全完全地依赖于SSL。(还记得SSL是什么不?要是忘了倒回去看看第三讲吧。)SSL即便在现在看来也依然是相当靠谱的东西,所以看上去似乎可以高枕无忧。
然而开发者却忽略了第一代网银的一大致命缺陷——用户计算机的安全性过于依赖用户本身的素质,对于安全观念较差的用户,其密码很容易被盗取。只要密码被盗,任何电脑都被用来冒充真实用户直接进行交易。
在那时,伴随着第一代网银诞生的是若干的钓鱼网站和木马程序。
于是很快,这种网银系统便被沦为了“网上查询系统”或者干脆被银行弃之不用。
第1.5代网银:使用单机数字证书的“专业版”网银
几乎就在 第1代网银 出现的同时,善于“与国际接轨”银行们推出了使用单机数字证书的所谓的“专业版”网银。
形象地说,这种第1.5代网银通过使用RSA对称加密技术,实现了银行服务器与客户电脑间用指定的“水星文”交流。
由于这种“水星文”是专用的,所以在当时的银行看来:即便密码泄漏,由于其他计算机不会讲“水星文”,也似乎没有什么危害。
然而这些银行却忘记了:网银木马开发者们的智慧是无穷的,人民大众的综合素质却还需提高。
单机数字证书的管理依然需要用户具有较高的安全素养和保密意识,这显然对于很多人来说要求有些过高。
于是乎,很多用户存在计算机里的“水星文”字典(单机数字证书)顺带着连通卡号密码便被人利用木马程序所偷取。
而随着远程控制的技术被木马程序广泛地使用。木马开放者可以直接使用用户计算机与网银服务器交流。让用户计算机彻底沦为了一个翻译。
于是乎,在广大人民群众共同的呼声下,第1.5代网银很快也推出了历史的舞台。
第1.75代与1.95代网银:使用“动态密码卡”、“手机动态密码”的网银系统
就在第1.5代网银出现后不久,人们很块发现到了这种网银在便捷性上的不足。“水星文”字典(单机数字证书)毕竟不是《新华字典》。(要真是《新华字典》,估计也没人敢用)用户要想在其他电脑上使用是一件高难度的技术活。于是乎基于“一次性密码”、“用过即废”思想的“动态密码卡”诞生了。这是第一次脱离用户的电脑系统,使用独立的身份认证硬件设备(虽然只是一块塑料卡片)。
 
实际上,这种低成本的卡片具有的缺陷是非常明显的,卡片内容极易被复制。更重要的是这种“动态密码卡”并不是完全的“一次性密码”,安全性并不高。于是乎银行对使用“动态密码卡”交易设置了诸多限制,甚至要求定期更换。
为了进一步提高安全性,“手机动态密码”被引入了网银系统。这是技术上非常有创意的一次“升级”,然而在国内手机实名制并不彻底、“山寨机”暗含陷阱的现实下,又再次出线了一连串“被盗用”的案例。 |
|
发表于 2011-9-29 14:28:11
发表于 2011-9-30 20:28:21