网上银行身份认证情况的调查及建议

1、网上银行身份认证情况的调查及建议当前，由于互联网的飞速发展，各种互联网题材也不断显现，诸如互联网购物，互联网交各种生活费用等业务创新层出不穷，互联生活已成为当前群众生活不可缺少的一部分，而这一切的产生，非常重要的一个环节，是银行推出的网上银行服务，银行的网上银行安全关系互联生活的安全，而网上银行安全最主要的安全措施就是在客户身份认证上做功夫。结合高要地区实际，在高要经营的银行主要是国有四大银行、广发银行和本地的高要农商行，而根据我们了解，基本所有银行的网上银行身份认证都是一致的，主要有以下几种：一、简单的大众版网上银行，只需自行或在柜台开通网上银行，通过观察，各银行采取的都是网上银行登录密码认

2、证，只要客户在网络上输入自已开户或首次登录时设置的密码，输入正确后就认证通过，就可以登录到网上银行进行查询账户的操作，这种认证方式简单，安全性也最差，只要骗子或黑客知道客户的登录密码就可以对客户的账户相关信息进行查询，此类认证方法既然不安全，当然银行在网上银行开放的功能也是有限的，基本上只限于查询账户信息或明细，充其量也只能进行客户自身拥有的账户之间进行转账等简单的、风险性较小的操作。二、短信口令或静态口令卡，短信口令，故名思议就是在操作网上银行时，通过给客户预留的手机号码发送动态密码的方式进行身份认证，这种验证方法比简单的登录密码身份认证验证多一了重的安全保障，但其安全性依然不够，因此多数银

3、行对该种认证方式提供的功能虽然比较齐全，但基本限于转帐金额小，或风险性较低的网上银行操作。存在的风险主要如下：一是客户由于丢失手机却没有及时挂失而导致短信口令泄露而存在的风险，其次是由于网络黑客通过窃取客户手机号码的密码从而盗取客户短信口令或通过在客户手机上安装软件实施盗取客户短信口令而导致的风险。举个最近的典型的例子来说，来自网易新闻的报道：2015年7月8日，微博网友“公交姬”在微博上吐槽，今年2月，他发现自己的银行卡总是被人莫名其妙地输错密码冻结，可他的卡一直都在自己手上，也从来没有泄露过卡的信息。近日，他多次收到运营商发来的“短信保管箱”业务的订购短信，虽然立即联系客服取消了这项业务并

4、修改了账号密码，仍收到了数十条来自各个消费网站发来的各种验证码短信，同时银行卡被不法分子盗刷，损失超过1万元。而他被盗刷的银行卡为在工商银行开办的储蓄卡。不过，这并不是个案，据当地媒体报道，北京地区多位储户遇到类似情况，有类似经历的受骗者在社交工具上成立交流群，规模近20人。一时之间，工行“工银e支付”有重大漏洞的说法传开。针对储户资金通过快捷支付被盗一事，工行方面20日表示，工银e支付业务运营正常，也未发生泄露客户信息的情况，储户资金被盗主要是由于其预留的手机被强行开通了中国移动的“短信保险箱”业务，不法分子盗取储户动态密码，进而通过快捷支付盗取资金。工行在公告中表示，“近年来，多家支付机构

5、和商业银行都推出了基于手机短信验证的快捷支付业务，这种小额支付方式方便快捷，受到了客户的广泛欢迎。我行的工银e支付业务也属于这种快捷支付业务，该业务开通时需要验证客户预留在我行的密码和手机号码，支付时需要验证我行向客户预留手机发送的短信验证码。只要客户保管好手机上的短信，安全性是有保障的。现在社会上一些不法分子利用非法手段窃取客户个人信息和认证短信，以盗取客户资金。为安全使用工银e支付业务，我行提醒广大客户务必保管好个人信息、密码，防止手机被植入病毒，防止认证短信被盗取。”工银e支付每日累计支付的最大限额是1万元，每月5万元。中国人民大学重阳金融研究院客座研究员董希淼认为，这个事件的主要责任在

6、运营商身上。此案例主要是利用客户的手机登录密码泄露被不法分子利用，在网上帮客户开通“短信保管箱”业务，实时查看客户接收到的动态口令，进行盗刷的犯罪行为。静态口令卡，主要是通过网上银行操作转帐或其他业务时输入口令卡中对应坐标的数字作为身份验证的方式，而口令卡上的坐标对应的数字口令是不变的，这种认证方式相对于短信口令来说虽然没有被装软件窃取口令的风险，但这种口令卡存在的风险也不小，比如口令卡丢失，又或者口令卡被人以照相方式窃取。目前银行的静态口令卡虽然有一层保护膜隐藏对应坐标的数字口令，每需要使用一个坐标对应的数字口令时刮开查看，但使用一段时间后，口令卡上的保护膜基本上都被刮开了，然后客户口令卡上

7、的所有坐标的密码都暴露出来，就容易被人照相或其他方式窃取，比如说，一个客户的口令卡在刮开后，假如其没有保存好，被不法分子照相后，其动态口令卡就基本上等于没有一样了，不法分子可以利用获取到的口令，通过网上银行的认证，从而盗取客户资金或进行其他不法操作。三、动态口令牌，每30秒随机生成一个动态口令，每个口令只能使用一次。动态口令牌是用来生成动态口令的终端设备，也称动态令牌，即使客户不慎外泄了登录卡号和登录密码，只要保管好客户手中的口令卡，使登录卡号、登录密码、口令卡不被同一个人获取，就能够保证客户资金的安全，从而让客户更加安全、放心地使用电子银行。但只要令牌被盗也一样会导致相应的资金风险。四、US

8、B Key（简称UKEY）是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用UKey内置的公钥算法实现对用户身份的认证。这种UKEY一般设置有UKEY密码，USB Key比较安全，但是USBKey并非绝对安全，也存在被破解的可能。客户在进行转帐或其他交易时，需要客户输入UKEY密码以获取UKEY内的证书而进行身份认证而确认交易。早期的UKEY一般只需用户输入UEKY密码即可获取UKEY内的证书面通过身份认证。最近几年，由于犯罪分子的犯罪手段提升，UKEY又发展出第二代，不仅简单需要客户输入UKEY密码码验证，还需要客户对网上银行办理的的

9、业务在UKEY的液晶显示屏进行回显，需要客户在UKEY上的物理按键进行确认。经了解目前高要农商行也采用这种最新的UKEY，大大降低客户风险。另外，据了解，还有一些是用组合的方式进行身份认证，如UKEY+短信口令，动态令牌+短信口令等等。综上所述，目前网上银行的发展已经相当成熟，目前各大银行均根据不同的认证方式的安全性对转帐限额、业务种类等作出不同的限制。据了解，在本地各大银行中，对企业的网上银行身份认证为UKEY方式的，有些银行已经不对转帐限额进行限制或限制金额较大，基本上已满足高要地区企业的所有资金转帐需要，以高要本地存款余额占本地市场份额最高及客户数量最多的高要农村商业银行来说，其企业网银

10、转帐限额单日、单笔为1亿元。而个人网上银行的转帐限额最高也已达到1000万以上甚至更高。另据了解，除了目前各种技术手段的身份认证外，高要农村商业银行还对网上银行转帐超过300万的客户进行电话回访核实，从另一方面更加保障客户资金安全。根据我们对网上银行身份认证情况的调查，我们建议如下：一是继续提高技术身份认证手段，除了客户身份认证手段上的技术手段，还应加强客户平时网上银行使用习惯去技术分析去认证客户身份，其一从客户平时登录IP地址分析客户是否是本人操作，如客户平时在肇庆地区的IP地址登录网上银行，突然登录IP地址变为国外或其他离客户平时登录地区距离较远的地区，可以判断客户可能存在网上银行身份认证被盗风险