權威分析

　　技術上如何被盜取？

　�犕�日，記者在采訪中國信息安全產品測評認證中心主任江長青時，其表示，在使用網銀過程中通常涉及3種密碼，包括數字證書PIN保護密碼，網銀登錄密碼和支付密碼。只要使用登錄密碼登錄網銀，就具有賬戶查詢功能。只要發生了賬戶資金變動，才需要支付密碼。因此，只有查詢操作不會導致支付密碼泄露。但是，在ATM機上修改支付密碼時可能引發ATM風險。通過ATM操作過程泄露個人密碼等信息，造成資金丟失。如：ATM機被人安裝攝像頭(如有證據由銀行擔負責任)、修改密碼時被人偷窺、銀行的自助門禁系統安全風險。排除ATM及門禁系統泄露密碼可能后，有可能是用來登錄網銀的電腦中了木馬，黑客通過密碼破解軟件破解賬號密碼以盜取存款。

　�犓�進一步談到，目前，黑客盜取網銀用戶賬戶及密碼的手段包括：1.在用戶電腦中植入木馬程序，可能進行遠程控制，盜取密碼。2.利用應用程序漏洞。如：網上案例，通過“忘記密碼”，“找回密碼”，獲取新密碼，從而達到控制用戶賬戶的目的。3.網上釣魚。發布假冒銀行網站，誘使用戶泄露密碼。4.密碼設置不當。如：用生日做密碼，而登錄名也使用身份證號碼，這樣很容易被猜測出密碼。

　　對于前一段時間，被譽為網銀安全保護神的數字證書被攻破，他指出，數字證書的存放方式有兩種：一種是存放在本機上，另外一種是存入電子鑰匙中。前者存放方式所引起的安全風險較大。例如證書文件被竊取后，使用密碼猜測工具可破解數字證書。而存放在電子鑰匙中的數字證書由于PIN碼的保護，通常猜測3次后即鎖定，在一定程度上保證了數字證書的安全。因此后者相對前者要安全些。

　　更進一步來說，電子鑰匙本身由于其技術原理不同，也分為兩種：一種是無智能卡芯片的，運算在卡外即本機執行，另外一種是帶智能卡芯片的，用戶證書和私鑰文件都存儲在卡中，并且私鑰不會被讀出卡外，與私鑰相關的運算都在卡內完成。后者的安全性最高。但前者經濟成本低，市場上有應用。

　　對于記者提出的，是否可以在銀行和電子網站間實行二次確認支付一問，他明確表示，從實際操作流程看，目前無論從銀行端還是電子支付平臺端都沒有實現二次確認支付的需求。目前大部分銀行和電子支付平臺，如果用戶或會員的賬戶資金有變動，都可以提供短信提示。但是，如果銀行對于每筆支付都要向用戶發送“是否可以支付”的短信，用戶向銀行返回“可以支付”或“不可以支付”的二次確認信息，由于網絡延遲、短信網關的延遲、短信信息丟失等原因，會出現重復發送重復接收短信等情況，造成用戶無法即時收到確認信息，或者無法辨別其中的正確信息，那么銀行資金轉賬的效率將十分低下，喪失了系統的可用性。