建行网上银行安全性研究.doc

建行网上银行安全性研究 ? ??? 随着前段时间几起网银盗取客户资金的案件发生,网上银行安全性问题也成为大家关注的焦点.很多人因为担心资金的安全不愿意用网上银行这种方便快捷的方式,到底我们建行的网上银行的安全系数多少呢?让我来做一个简要的分析.??? 一、关于签约流程??? 最近网银被盗案件的发生引起了建行的高度重视，网上银行的安全措施不断增加，其中签约流程方面的变化是最大的。客户签约网上银行业务，需先在建行网站进行注册。网上注册的第一布是阅读风险提示，其中列出了多种诈骗的手段，通过客户阅读风险提示，能有效防范通过网络诈骗的方式盗取客户资金的行为，避免一些不明真相的客户上当受骗。??? 客户来柜台做网上银行签约业务，柜员必须向客户核实网上银行的使用目的是否正确，使用地点是否安全，并核对客户所填写的手机号是否为本人所有，通过联网核查系统核实客户的身份证件等，这些措施从源头上保证了客户资金的安全性，确保客户正确使用网上银行，避免一些不法分子钻空子。??? 二、关于密码??? 首先，登录网上银行需要客户输入用户昵称/证件号码、登录密码和附加码。无论是有证书客户还是无证书客户，输入正确即可登录建行的网上银行。黑客盗取客户密码的方式，总的来说有以下几种：??? 1.?通过键盘记录盗取密码。键盘记录型的木马是一种比较简单的木马。它的原理就是将木马的服务器程序安装到您的计算机上，也是我们通常所说的“中了木马”，这时，您的键盘敲击的操作就会以点子邮件等方式发送给黑客，这是非常危险的。建行的网上银行有一个比较高级的密码输入器（如下图），建议您在操作的时候不要选择“使用键盘输入”，而是通过点击鼠标的方式使用密码键盘器输入，这样可以有效的对付此种木马。???? 2.?通过记录鼠标动作盗取密码。一些别有用心的木马设计者也许会通过分析您在通过密码键盘器输入密码时鼠标点击的位置判断您的网银密码。黑客盗取您鼠标点击位置的坐标，通过这些坐标模拟出您的密码的几种可能性，这样很容易就能试出密码。建行网银的这个密码键盘器的一个非常安全的设计就是密码键盘器的上面绿色的部分，十个数字显示的顺序是随机的。这样，黑客即使是盗取了鼠标的坐标，也不可能知道您的密码是多少。这就决定了打算靠记录鼠标动作破解密码的黑客完全无法得逞。??? 3.?密码发送型木马盗取密码。此种木马可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。所以提醒各位网银客户注意，尽量不要把密码记在电脑里的某个文件里，如果怕忘记，倒不如记在纸上安全更安全些。??? 4.?暴利破解密码。所谓的暴利破解可不是指的把电脑砸扁，而是通过一次次的运算试出密码。由于电脑运算的强度可能非常大，极有可能造成您的电脑运行速度减慢，所以称之为暴利破解。由于建行的网上银行每天允许密码输入错误的次数只有两次，而且每次登录都需要输入系统随机产生的验证码，所以暴利破解密码的可能性几乎没有。但还是要提醒大家注意，您的密码长度不要太短，也不要设的太简单，单纯的数字和单纯的字母都更容易被破解。最好是将密码修改为数字和字母结合。??? 如果按照以上注意事项操作了，可以看出，即使是无证书客户，建行的网上银行也是比较安全的，更何况无证书的客户只能办理查询、小额网上交易等风险较小的业务。??? 二、关于数字证书??? 让我们看看数字证书是什么。数字证书也叫数字标识 (Digital Certificate，Digital ID)，由权威公正的第三方机构--认证中心，即CA(Certificate Authority)签发，主要用于网上安全交往的身份认证，通俗地讲，数字证书就是个人或单位在网络上的身份证。它实际是一串很长的数学编码，包含有客户的基本信息及CA的签字，通常保存在电脑硬盘或IC卡中。数字证书用来证明证书主体（证书申请者被发放证书后即成为证书主体）与证书中所包含的公钥的唯一对应关系。证书中包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA数字签名及证书有效期等内容。每个网银用户在浏览器端安装客户证书后，通过证书的保护，可以在客户端浏览器与建行网银系统之间建立起安全的加密通道。保证了客户的信息不会在传输过程中被黑客篡改。对每个客户而言，该证书是唯一的。数字证书是被国内外普遍采用的一整套成熟的信息安全保护措施。??? 建行的网上银行中数字证书的存储介质有两种，一种是文件证书，一种是磁介质存储，也就是USBKey。由于黑客技术已经发展到能够通过木马程序盗取建行网银文件证书的程度，单纯的文件证书的安全性越来越多的得到质疑，这就迫