支付安全与银行安保.docx

支付在安全领域有两个基本的原则：1． 没有绝对安全，安全是相对的；2． 所有的简单、方便都是以牺牲安全程度为代价的，只是看你如何权衡罢了。数字证书动态口令短信验证：简单的用户名和静态密码都是容易被破解或窃取的（无论如何组合数字和字母，多少位），已经不能满足今天电子支付的安全要求了。所以，银行目前普遍采用“用户名+密码+密钥”三合一的方式来实现用户身份的认证。“用户名和密码”就是你在银行开户时设定的，而“密钥”是你下载到U盾保存（也由银行发放）的数字证书或者银行发放的带有显示屏的六位到八位的动态令牌。无论是数字证书还是动态令牌，都是代表你身份的唯一象征。对于银行而言，每一个用户都具有唯一的数字证书或者动态令牌，反之亦然。用户的“密钥”和PC机独立是电子支付的最基本的要求。如果早期使用过网银的客户一定记得，最初数字证书是备份在PC机的硬盘里的，之所以现在要备份到一个独立的U盾里，就是为了将你的“密钥”与PC分离。这样，即使有黑客能够侵入你的电脑，没有数字证书或者动态令牌显示的数字也无法完成资金的转移。动态令牌的工作原理是简单地来说就是一种密码算法。理论上来讲，只要有足够长的时间和良好的设备，任何密码都可通过穷举法加以破解，即把所有的密码组合全试一次。但对于动态令牌的一些算法（如MD5、SHA-1），使用穷举法寻找它的冲突至少需要进行2^80次运算，这对于我们来说近乎不可能。短信验证码，