|
招行 工行 建行 兴业 恒生电子银行安全性比较(2)
建设银行:防不专业的用户却不防小人
建设银行,建设银行同工行比较.建行把“宝”压在文件证书上面,因为文件证书的存在,一下子抬高了使用门槛.但是建行的证书下载和备份有一个最大的问题,就是一旦电脑被别人窃取(或者短时间控制),对于一个普通的计算机操作人员,都可以很容易通过ie把用户证书备份出来,这个备份过程并不需要密码等支持.说的极端一点,建行的证书模式等于洞门大开!只要某一天,你开着电脑,上厕所的时间,另外一个人就可以备份走你的建行电子银行的证书.而自己的证书一旦丢失,又得上建行重新申请.有点防君子不防小人的味道.
如果要盗窃建行用户的电子银行钱款,最好就是亲近的人,直接获取到证书,然后用望远镜或者摄像头,直接窃取密码,就可以轻松转走钱款.(这里补充一句,工行还设定了口令卡转款最高上限,建行的上限却是无穷大!),或者利用黑客技术(这里面的技术我就不懂了),盗用证书后,并盗用密码,也可以转走钱款.所以当你听说国内电子银行最高被盗上限是16w,储户来自建行,我觉的一点都不奇怪.
另外建行也提供口令卡,但是不够彻底的是,口令卡要2块钱(原来要5块),建行看来果然贪财.同时设计上,建行的口令卡只能用29次.而且是顺序排列,加上没有预留信息,直接给钓鱼网站一个机会.假如钓鱼网站诱惑你成功登陆后,就直接获取了你的账号(或者登陆名)、登陆(查询)密码.如果你对自己的钱款余额不太关注,可以诱骗你刮一次口令卡,然后盗窃团伙直接用这个口令卡上的口令就可以轻松搞定你户头所有的钱.
综述:不建议有大额存款的人开建行的电子银行.如果有开,看紧你的电脑,也要看紧你的口令卡,还要关心你自己的余额.
这里再解释一下,工行和建行对钓鱼网站的防御能力的区别.工行有一个预留信息,这个信息只有你自己知道.所以你登陆钓鱼网站,钓鱼网站无法提供你的预留信息,那么这一步上能够避免细心的用户被盗.同时,在使用口令卡过程时候,钓鱼网站最多只能获得工行口令卡里面某两个框框的3位加3位的密码,而盗窃团伙即使拿到利用盗窃到的账号密码到真工行上时候,由于只有随机两个框的密码,正常情况下都不能符合工行的需要验证的密码框位置.所以钓鱼网站无法窃取工行账户的钱.
但是建行就不一样了,首先没有预留信息.除非你从自己余额上知道自己登陆错误,否则很难发现你错登陆了钓鱼网站.然后盗窃团伙窃取到你的口令卡,直接就可以在真实建行上使用了.这个区别就是工行的口令卡是要随机取两个方块的密码组合起来,而建行就是直接依据固定顺序,没有随机.
我自己现在对建行卡的态度就是,如果超过一定额度,立刻就转到其他银行卡上.而且我估计,未来建行还会发生大额存款丢失的事件.
兴业银行:最安全的不是手机
兴业银行在电子银行里面是“新兵”.估计该行的用户群和使用范围同招行、工行、建行比都少一个数量级都不止.
虽然兴业提供文件证书作为安全模式,但是和所有大银行不同的是,文件证书必须交20元年费.所以到现在为止,我还没有亲身试用兴业银行带证书模式的服务,我体验到的模式是兴业通过手机短信来确认最后密码.具体如下:用查询号码登陆,转账时候,输入取款密码,同时兴业会发送一条短信到用户手机上,这个短信里面包含了一次性的验证密码.不少人认为同手机关联的模式是最安全的,其实不然,我专门咨询过一个地级市的移动工作人员,问他们的技术人员能否看到用户的短信,对方给我一个非常肯定的答复.如果一个地市级别(不是省级)的移动工作人员就能看到所在区域某手机的短信,这个安全性立刻大大打折扣.兴业银行在转资金时候,还要有取款密码,这一点上,比工行、建行要好.(工行、建行如果有口令卡,转款时候可以不要原来设置的取款密码)
兴业电子银行最大的破绽我个人认为集中在手机上.因为丢手机,或者说,盗窃团伙偷手机还是比较轻松的,对于gsm还可以直接复制手机卡!就是说,盗窃团伙在定准一个人的兴业e卡电子银行,在套取到查询密码后和取现密码(这个密码因为用的少,安全性相对较高),只要有几秒钟控制用户的手机,或者能够复制用户的gsm手机,或者能够进入移动的网关,看到手机的短信记录,下面就可以成功盗走所有现金.
综述:兴业电子银行,看紧取款密码比看紧手机更重要.因为手机时刻都有可能被盗阅读,甚至gsm手机很容易被监听.建议用户使用兴业电子银行时候,每日的转账上限还是适当保守一点为好.
|
