- 快捷搜索
- 全站搜索
自上世纪末网上银行诞生以来,“高速发展”、“方便快捷”、“潜力巨大”、“回报丰厚”等溢美之词始终伴随这一金融前沿业务。但同时,令人垂涎的巨大商机,也使其成为不法分子的窥探目标。各种诸如“网银大盗”、“钓鱼网站”、“远程挟持”、“键盘钩子”等名词正在不断侵蚀公众对网银安全的信心。就当前网银看,现有防范措施足以确保99%的交易安全,银行正在努力探索1%安全隐患的最佳解决方案。
三代USB Key与USB Token
三代USB Key(简称三代Key)与USB Token是在数字证书基础上创新而生的网银安全认证硬加密产品。
三代USB Key(又称二代增强型USB Key)是在二代USB Key(简称二代Key)基础上扩大液晶屏,并丰富了按键功能。三代Key除与二代Key同样实现“所见即所签”外,还通过硬件加密技术和密码输入控件技术,加密传输客户密码,防止密码在客户端被截取,确保数据在客户端的安全。
USB Token是数字证书和OTP的有机结合,可支持网上银行在各种交易场景中不同强度的安全认证需求。USB Token以数字证书和OTP两种认证方式分别或联合进行身份认证,是一种灵活、高效的身份认证解决方案。同时,凭借OTP,USB Token可跨渠道应用,实现了电子银行渠道安全认证方式的统一整合。
由于缺乏可参照的行业标准,成都银行在选择安全认证方式时颇费了一番脑筋,最终选择三代Key,主要原因如下。
使用USB Key已成为行业共识
据了解,工商银行、农业银行应用的是二代Key。2013年,中国银行开始将企业客户的USB Token替换为二代Key。目前,USB Token仅在少数银行应用,采购规模较小。
USB Token存安全漏洞
USB Token的数字证书载体实质是一代Key,缺乏交易信息展示功能,无法实现“所见即所签”,无法避免交易信息被篡改的风险。而二代Key与挑战应答令牌组合构成的二代USB Token尚未投放市场,因此目前选购USB Token的客观条件并不成熟。
USB Token一般缺乏按键确认设计,不需要客户手动触发,通过电脑键盘即可完成全部操作,存在远程挟持风险。部分USB Token考虑到这一点,增加了触发按键设计,但相比三代Key的完善按键组合仍有较大差距。
OTP存先天不足
USB Token使用OTP作为辅助安全认证方式,存在先天不足。《电子签名法》第四条规定,“能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。”OTP的各种特性表明其不属于电子签名,在法律合规性方面具有“基因缺陷”。若监管部门对OTP身份认证方式的法律地位没有进一步确认,那么银行业应谨慎使用OTP。
反观,三代Key回避了USB Token的尴尬推广局面,符合政策指导方向、具备法律合规地位,虽目前未成为行业主流,但极有可能在短时间内席卷网银安全认证市场,甚至可能成为网银身份认证方式的行业标准。
三代Key的推广挑战
三代Key虽具备多项优势,但其推广也面临多重挑战。
客户基础薄弱
对大部分客户来说,三代Key是新生事物,缺乏一代Key的广泛客户基础。与一、二代Key相比,三代Key的操作更为复杂,无论是交易信息的核对还是数字签名的确认,都需客户重新学习和掌握。这让银行必须加大客户教育资源投入,客户服务工作的压力和成本都将上升。
运营成本高
三代Key成本相较一二代产品有较大幅度增长,说服客户购买更加昂贵的身份认证工具有一定难度。若由银行负担工本费,则运营成本高。
基于客户差异,重新定位USB Key
在“安全性”与“便捷性”的取舍中,三代Key明显偏向前者,导致其操作便捷性逊色于前两代产品。在银行客户群体中,部分客户始终坚持“安全第一”的网银使用理念,而部分客户则偏重关注便捷性。如何针对不同诉求的客户配置差异化的身份认证方式,也是考验银行业务智慧的重要标准。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信