浅析网上银行客户端的风险防控措施
2014-01-03张松滨
张松滨
【摘要】大部分网上银行安全事件源于客户端的安全隐患。由于受到木马、钓鱼、嗅探等各种客户端攻击,网上银行安全面临较多威胁。本文通过测试目前主要商业银行的网上银行,了解客户端保护机制,提出网银客户端的主要风险防控措施,对完善网银的安全策略,有现实参考意义。
【关键词】网上银行,风险管理
【中图分类号】F832.2 【文献标识码】A 【文章编号】1672-5158(2013)04-0162-01
一、研究方法与意义
中国大部分商业银行已经建设了网银系统,由于面临较多互联网威胁,如网络钓鱼、恶意代码、暴力破解、恶意锁死用户、假冒客户登录等,因此安全措施是否完善一直备受关注。经过多年的摸索和总结,大型商业银行网银服务器端已经配置较齐全,安全措施较完善,基本经受了考验,其经验值得中小商业银行借鉴。
以普尔2012年发布的《中国五十大银行》中列举的商业银行作为研究对象,通过实际登陆网银进行测试,总结网银客户端的主要风险防控措施,对中小商业银行网银建设和管理,有现实的参考意义。
二、主要风险防控措施
网民安全意识参差不齐,个人电脑防护不够,客户端导致的网上银行案件层出不穷。为了增强客户端的访问控制安全性,各大商业银行主要采取了如下几种措施。
1、SSL安全会话
安全的会话是个人网上银行的安全基础。所有国内50大银行个人网上银行的网络通讯都采用HTTPS的加密传输方式,通过SSL建立安全的通道访问。国内商业银行大部分采用VeriSign颁发的SSL证书,除VeriSign外,Entrust和CFCA也是常见的证书颁发机构。个人网上银行证书普遍采用RSA(2048Bits)公钥,少数采用RSA(1024Bits)公钥。证书有效期集中在24-27个月之间,也有部分短期证书例如9个月。
2、多因素认证
身份鉴别是保障个人网上银行业务安全的关键,好的身份鉴别方式,不但能简化繁杂的登陆过程,更能较好地保障客户的帐号和财产安全。大多数银行都采用不同的身份鉴别手段来区分操作权限。一般“专业版”使用多因素认证,具备转账、交易等多种权限。而用传统客户名加密码简单认证的“大众版”只能查询信息而无法更改金额。目前我国50大银行中有82%在登陆过程中采用了多因素认证,有72%的银行采用了USBKEY证书的认证方式。出于更个性化考虑,客户还可以选择采用个性化登陆名或昵称,银行对客户登陆名的长度、密码长度、密码复杂度等进行了限制。
3、USBKEY保护
USBKEY因物理特性而具有较好的安全性。密钥存储在安全的u盘介质中,无法轻易读出,修改密钥必须经过硬件内程序调用。在接口的外部没有命令能对密钥区进行读删改,较好地保证了介质安全陛。即使客户密码泄漏,只要USBKEY不被盗用,客户身份就不会被仿冒。USBKEY内置CPU或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加解密运算在硬件内进行,保证了密钥不会出现在计算机内存中。如果USBKEY不慎遗失,拾到者由于不知道客户密码,也无法仿冒客户身份。
USBKEY还使用公私钥密码体制和数字证书,从密码学角度提高了安全性。USBKEY初始化的时将算法写在ROM中,生成一对公私钥,公钥可以导出到USBKEY外,而私钥存储在密钥区,不允许外部访问,计算只在芯片内部进行,全过程中私钥不离开介质。
4、密码输入保护
密码输入是网银保护对象中安全级别最高的部分。当客户初次使用网上银行,一般会提示安装安全控件。安全控件是为确保密码不被恶意程序非法获取的保护措施,可抵御反编译、嗅探、溢出等。控件经过第三方安全测评,方可使用。密码输入保护主要分为安全控件、软键盘或二者结合,部分银行已将安全控件与软键盘功能统一在安全控件中,安全性得到提升。目前商业银行86%的密码输入后可实现自动加密,但仍有14%的商业银行网银密码未采取客户端加密,存在较大风险。
5、验证码增强验证
为防止机器暴力破解密码或自动登陆,90%的网银在登陆界面采用了验证码,但客户体验受到影响,登陆时间平均延迟2秒以上。从长度看,大多数银行的验证码为4位,少数银行采用5位和6位。从内容看,多数验证码为字母和数字相结合,字母不区分大小写,但也有个别银行验证码为纯字母或纯数字,存在风险。从表现形式看,大部分银行验证码在客户每一次登陆就在首页上要求输入验证码;少数银行采用隐藏验证码的形式,只有客户第一次登陆失败后才会显示验证码。隐藏验证码的方式达到了安全与易用的平衡。
6、登陆失败提示
网银常见错误提示包括:帐号或客户名错误,密码错误,验证码失效等。94%的网上银行采用了帐号自动锁定策略,达到特定的失败次数后,帐号会自动锁定一段时间,在满足时间要求后,帐号自动解锁,避免正常客户帐号被恶意长期锁死。登陆失败提示是一把双刃剑,在使用较为严格的“帐号自动锁定策略”后,因模糊的反馈提示,无法提供给客户足够帮助,降低了客户体验感,增加了错误处理成本。
7、浏览器功能屏蔽
商业银行为了降低客户端风险而屏蔽了浏览器部分功能。一般包括屏蔽菜单栏功能、屏蔽导航栏功能、屏蔽右键功能等。88%的网上银行仅支持IE浏览器,而其中又仅有8%采用功能屏蔽。只有少数银行支持IE、谷歌等多种浏览器,并分别不同程度采用了功能屏蔽的措施。
8、预留信息
预留信息是为了帮助防止钓鱼网站的一种安全措施。网银需要对客户进行身份认证,同样的,客户也需要对网银的真实性进行确认。客户在银行预留信息,当登陆个人网上银行的时候,网页上自动显示客户预留的特定信息,可辨认真伪。个性化的预留信息,能够帮助客户.陕速、有效地识别网银真伪,保护客户资产。目前个人网上银行采用的预留信息主要为文字为主,少数银行提供图片防伪的预留信息。
9、首页登陆提醒
成功登陆网银后,首页提供一些客户个人信息和以往登陆记录,一方面类似预留信息的防伪作用,另一方面可方便客户了解网上银行的使用情况,提高安全意识。当前网银的登陆提醒信息有很多种,较多的是提醒上次登陆时间信息,也有少数银行提醒更加多样化,如“总的登陆次数”、“上次登陆的IP地址”、“上次安全退出的时间”、“密码错误次数”等。
三、结论
本文通过对目前国内主要商业银行的个人网上银行进行测试,总结了客户端的主要风险防控措施,包括安全会话、多因素认证、USBKEY保护、输入保护、验证码、失败处理、登陆提醒、浏览器功能屏蔽、预留信息等。
随着网上银行在银行渠道建设中的重要性不断提升,客户端风险防控越来越得到银行重视。本文总结的网银客户端风险防范措施,是实现网上银行安全保护的众多方法之一,措施本身可以随业务发展和技术需要进一步细化、扩展和完善,值得银行同业参考借鉴。