据《北京晚报》报道,中国金融认证中心副总经理曹小青表示,网络银行使用的“软证书”存在安全风险。据称,利用网络银行对外转账,数字证书是不可缺少的。这种证书分两类,一类存放在类似优盘的USBKey中,俗称“硬证书”,另一类存在电脑里,叫做“软证书”,后者成本低使用方便,更受普通个人用户的青睐。不过,这种证书有一个缺点,那就是不强制用户设置口令,如果多人共用一台电脑,危险增加就是不言自明的了。“软证书”的私钥一旦通过木马程序导出复制到其他电脑上,放着你秘密的电脑也就成了黑客手中随意宰割的“肉鸡”了。看到这个消息,我想到了美国媒体去年发表的一则报道,虽然讲的不是同一个具体问题,可是说的却都是网络银行的安全缺陷。美国密执安大学的一项研究发现,被调查的银行网站中,有超过百分之七十五存在设计上的缺陷,这种缺陷使得用户对网络窃贼盗取他们的身份卡以及钱财难以防范。根据美国密执安大学的电子工程与计算科学系的教授阿图尔·普拉卡什与博士生劳拉·佛尔克和柯文·博德斯的调查,这些缺陷包括,将登录框以及联系信息放在不安全的页面上,不能让用户从始至终访问一个网站。普拉卡什说,自从他们这个小组开始收集信息以来,有些银行已经采取步骤来解决这些问题,但是,总地来说,还有很大的改进余地。普拉卡什说,“让我们惊奇的是,危及安全的那些设计缺陷广泛存在,包括美国的一些大银行。我们要求用户仔细,遗憾的是,用户在进行网上交易的时候,某些银行的网站很难让其就是否安全作出判断。黑客利用这些缺陷留下的漏洞获取个人的信息和账户。这当中是否包括“证书”问题不得而知。美国联邦储蓄保险公司.说,跟抵押诈骗、支票诈骗相比,计算机入侵相对来说尽管少得多,但是计算机入侵对银行和用户来说经常是灾难性的。美国联邦储蓄保险公司曾经对五百三十六例计算机入侵案件进行了统计,每个案件平均损失三万美元。二○○七年的第一个季度总共损失一千六百万美元。计算机入侵在二○○七年的第一季度和第二季度之间增加了百分之一百五十。在这些入侵案件中,百分之八十虽然来源不明,但是却都发生在网上交易过程中。根据他们的研究,最常见的网站缺陷包括:第一,将登录框放在不安全网页上。百分之四十七的银行网站有这个问题。黑客为已经输进登录框的数据重新选择路由或者以骗人的把戏来复制网页,从而盗取信息。如果是无线上网,完全可以进行中间人工攻击而不需要改变银行提供给用户的链接,这样一来无论多有警惕性的用户都可能成为受害者。若要解决这个问题,银行应该使用标准且需要敏感信息的安全套接层协议。多数银行的网站在某些网页上使用的是安全套接层协议,但是只有少数银行以这种方式确保其所有网页的安全性。
评论内容:发表评论不能请不要超过250字;发表评论请自觉遵守互联网相关政策法规。
