五千年(敝帚自珍)

主题:工行网银的安全性 -- 心态

共:💬20 🌺13
分页树展主题 · 全看首页 上页
/ 2
下页 末页
  • 家园 工行网银的安全性

    现在工行,中国银行都有网银了,只是不知道他们的安全性如何,有知道的大牛给说说。今天试着上了一下中国银行的网银,结果说他家的certificate还没有被认证是安全的。

    • 家园 U盾是一种USB Key

      在进行网银这样的网上交易的时候, 通常都会采取SSL作为数据通信保护(当然还有例如表单签名等其它安全手段), 在客户端有一个客户端的数字证书, 在服务端有一个服务端的数字证书, 通信双方通过数字证书识别对方的身份, 以确保交易的秘密性, 完整性和不可否认性.

      从上面的描述可以看出, 这个客户端数字证书其实就是你在这个交易里面的身份, 因此对这个数字证书(更准确的说法是这个数字证书的私有密钥)的保护就非常重要了. 私有密钥的丢失或者泄漏其实就相对于您丢失了保险箱钥匙.

      U盾其实就是一种USB Key. 与文件型的数字证书不同的地方在于. USB Key的私有密钥是可以做到"不落地", 也就是说, 私有密钥在USB Key里面产生, 可以按照外部的指令要求进行私有密钥的运算, 但是私有密钥本身绝对不可以被导出. 换句话说, 这个私有密钥, 只有这个key知道是什么, 其它人, 包括银行, 也不知道这个私有密钥是什么. 这就最大限度地保护了私有密钥的安全.

      文件型的数字证书里面, 私有密钥其实是证书的签发者(例如银行)替你生成的, 这个存在一个安全的隐患: 除了你自己以外, 银行同时也拥有你的私有密钥. 如果银行愿意, 它完全可以伪造你的交易.

      我也使用网银, 我是招商银行专业版的用户, 但是我一直还在使用文件型数字证书. 之所以一直没有去搞个USB key是因为:

      1)我觉得银行对USB key的要价太黑, 我不愿意当冤大头.

      2)我觉得文件型的数字证书虽然存在安全隐患, 但是不是还有取款密码的保护嘛, 俺的卡里也没有多少钱, 风险还是在我可以接受的范围内.

      IE是不安全的浏览器, 但是我们的网银统统仅仅支持IE(因为在里面大量使用了ActiveX). 每次为了使用网银, 即使不情愿, 我还是要打开我的IE, 这是让我觉得比较烦的事情.

      今天试着上了一下中国银行的网银,结果说他家的certificate还没有被认证是安全的。

      这个需要澄清一下, 这个所谓的没有被认证是安全的Certificate其实是没有被IE(Microsoft?)认证, 因此这个认证的权威性您大可忽略. 从技术上的解释就是中国银行网银的根证书还没有被导入, 一旦导入了根证书, IE就不会有这样的抱怨了.

    • 家园 工商行的这个很烂的

      这次回国弄了一个,发现需要降低IE的安全性设置才能使用工商行的那些乱七八糟的控件。

      银行交易本身的安全性大约问题不大,我被推荐用了U盾,但是我自己的网络安全咋办呢?

      也用过不少地方的网络银行了,没见过这么麻烦变态的。

      • 家园 不用降低IE安全性设置

        只需要安装控件基本就行。用U盾其实只是换了个地方放key而已,招行、农行就有用文件key的。用物理的主要是给用户信心

        • 家园 需要降低,否则根本登陆不了

          网站登陆的时候使用了一些奇怪的控件。我打电话给工商行,被迫调低了安全性才能使用的。

      • 家园 有道理

        不过使用很多控件的银行交易很安全吗?感觉花旗之类的没有这些东东,看来中国的IT确实有问题。

        • 家园 安全性在那个U盾那里

          是硬件,每次交易的时候需要插在USB口上,这样的交易应该是安全的,当然也可以破解。

          依赖硬件保证安全,反而说明交易系统本身并不安全。银行连这点自信都没有。

    • 家园 多谢各位指点迷津!
    • 家园 网银最好用U盾,一个也就几十块

      但是安全性大大增加.原来看过介绍,只要u盾没有被偷,基本没有可能复制的.而且,u盾的构造特殊,暂时无法用软件安模拟.

    • 家园 工行算是很不错的了,呵呵

      工行和建行的,我用的感觉都还可以了,哈哈

分页树展主题 · 全看首页 上页
/ 2
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河