安全性是電子銀行最大的考核要素.國內通過網(wǎng)上銀行行竊的案例并不在少數(shù),在網(wǎng)上管理賬戶到底安全不安全,哪個更安全?本文從一個普通用戶角度,看這五個銀行的安全性.

　　招行是國內電子銀行的老牌,毫無爭議,招行對國內電子銀行的發(fā)展和促進做出重大貢獻.目前招行的電子銀行在國內應該算口碑最好的一個.招行現(xiàn)在的電子銀行提供有客戶端的專業(yè)版和無客戶端的web版.而且以專業(yè)版為主,Web版為輔助.工行、建行、興業(yè)主體上還是web模式.恒生也是提供web模式的銀行.

　　招商銀行:專業(yè)人士的最愛,安全性和易用性的博弈

　　招行的專業(yè)版,采用證書+客戶端.其中的證書下載前必須去銀行柜臺登記,并領用專門的號碼后才可以下載.下載下來不允許直接備份在硬盤上(可以在u盤上,以前招行是可以直接備份在電腦硬盤上).

　　因為證書以及客戶端存在,等于說,別人想盜用你的存款時候,首選要知道電子銀行的登陸密碼(不是查詢密碼).然后還要掌握安裝有證書的電腦,同時還要知道取款密碼,在三個都成立情況下,才可以竊取成功.【招行的電子銀行密碼分有,電子銀行登錄密碼、賬戶查詢密碼、取款密碼.】

　　客戶端的存在,基本上免除了用戶誤用釣魚網(wǎng)站導致而導致失竊的情況(當然,如果釣魚網(wǎng)站模仿招行大眾版除外),所以我的建議就是用專業(yè)版的用戶最好的選擇就是關閉大眾版.

　　目前較高級的黑客軟件和木馬,即使能夠竊取到查詢密碼、取款密碼,但是在盜用招行的文件證書上還是有一定難度,就是盜用成功了,招行會用短信告知用戶,你在某時成功備份了招行電子銀行的文件證書.盜用者在竊取到證書后,恢復證書過程中,必須知道電子銀行的登陸密碼,而且必須正確回答3個預先設置號的問題,回答正確情況下,招行會把一個一次性密碼發(fā)送到用戶原來注冊登記的手機上,然后才能修復成功.

　　可以說,在不考慮移動證書的前提下,招行現(xiàn)在的電子銀行安全性相對是最高的,也是最復雜了.復雜到如果你電腦格式化(這個是正常得不得了的事情),有不少人都不得不重新跑一次招行,因為有很多人忘記了自己設定的3個問題的答案(尤其是某些人故意設置一些答非所問,或者自認為有“技巧”的答案),另外,如果你換手機號碼了,請到柜臺告知招行一下.否則,你將來很容易有再跑一次銀行的經歷了.

　　可以說,招行的電子銀行對用戶的個人計算機知識水平的要求是最高的.操作上也最麻煩.這個也直接導致了,在文件證書丟失情況下,很多用戶不得不重新跑一次銀行.

　　招行在國內最早大力推廣電子銀行,毫無疑問,招行是國內電子銀行的鼻祖,也實際上成為國內電子銀行的標準之一.

　　綜述:安全性超高,要求用戶操作水平要高,推薦電腦熟悉人士使用.建議,備份證書時候記住自己的問題和密碼,如果換手機號碼,請務必告訴招行一下.

　　工商銀行:亡羊補牢.口令卡把電子銀行大眾化

　　工行,提供web版本.不需要同個體用戶關聯(lián)的文件證書.如果你知道帳號和查詢密碼,可以在任意電腦上安裝工行的插件,并登錄使用.工行以前是可以在網(wǎng)絡上直接申請開電子銀行,這個政策也被人深為詬病,并成為一個比較公開的漏洞,工行有一段時間被竊不少,(我個人相信,工行電子銀行是失竊絕對數(shù)比較高的一個銀行.)后來工行大力推廣口令卡,并改進電子銀行軟件和強化電子銀行開戶管理才算阻止被盜數(shù)的上漲.

　　工行現(xiàn)在主推的是口令卡.目前在推廣期內是免費贈送,而且同下面提到建行相比,單張工行的口令卡能夠使用次數(shù)遠遠超過建行(工行自己說可以使用1千次,建行的只能29次(最后一次要用來關聯(lián)下一個口令卡)).工行的這種口令卡模式,有幾個優(yōu)點,口令卡免費,而且使用次數(shù)是1000次,從這兩點上看,工行確實想在一定安全級別上降低電子銀行的推廣成本.由于口令卡是一個同電腦無關的物理卡片,直接切斷了黑客種植木馬盜用賬號和密碼后,依然無法直接盜用用戶的存款.如果用戶能保存好口令卡,理論上用戶的存款是非常安全的.肯定有人提出來如果我用釣魚網(wǎng)站直接欺騙用戶使用假的工行賬戶怎么辦?工行電子銀行目前模式基本上可以防止此類盜用,因為你首先要竊取到當前口令卡上的兩個密碼區(qū)域橫縱坐標信息,同時工行還提供了網(wǎng)絡預留信息,釣魚網(wǎng)站基本上無法同時竊取到兩個密碼區(qū)域橫縱坐標信息以及預留信息.

　　那么盜用工行的錢,現(xiàn)在必須直接面對就是盜用口令卡.這個難度對于電子盜竊團伙來說,除非目標明確的個人用戶,否則盜竊到物理的口令卡成本很大.何況,工行還有最后一手,口令卡一次最多只能搞1k,一天最多5k.

　　我也相信,工行口令卡的推廣,并同時取消單機文件證書這樣的模式,使很多普通的用戶,尤其對計算機操作不是很理解的人,降低了他們操作的門檻.(別看下載證書這么簡單的動作,實際上這個動作帶來備份證書等一系列后備技術的支持),工行不需要個人用戶獨立的文件證書,這種模式迅速降低電子銀行使用難度,不但很快挽救了自己早期的聲譽,而且,非常大的促進了國內電子銀行.由于工行用戶群遠大于招行,工行的電子銀行借助基金購買這個業(yè)務,已經大大普及了電子銀行.如果說招行是專業(yè)人士的喜愛,工行應該說把電子銀行從陽春白雪直接普及到下里巴人的手中.

　　綜述:操作方便,推薦普通用戶用口令卡,尤其是每日轉款在5k之內的用戶.

　　建設銀行:防不專業(yè)的用戶卻不防小人

　　建設銀行,建設銀行同工行比較.建行把“寶”壓在文件證書上面,因為文件證書的存在,一下子抬高了使用門檻.但是建行的證書下載和備份有一個最大的問題,就是一旦電腦被別人竊取(或者短時間控制),對于一個普通的計算機操作人員,都可以很容易通過ie把用戶證書備份出來,這個備份過程并不需要密碼等支持.說的極端一點,建行的證書模式等于洞門大開!只要某一天,你開著電腦,上廁所的時間,另外一個人就可以備份走你的建行電子銀行的證書.而自己的證書一旦丟失,又得上建行重新申請.有點防君子不防小人的味道.

　　如果要盜竊建行用戶的電子銀行錢款,最好就是親近的人,直接獲取到證書,然后用望遠鏡或者攝像頭,直接竊取密碼,就可以輕松轉走錢款.(這里補充一句,工行還設定了口令卡轉款最高上限,建行的上限卻是無窮大!),或者利用黑客技術(這里面的技術我就不懂了),盜用證書后,并盜用密碼,也可以轉走錢款.所以當你聽說國內電子銀行最高被盜上限是16w,儲戶來自建行,我覺的一點都不奇怪.

　　另外建行也提供口令卡,但是不夠徹底的是,口令卡要2塊錢(原來要5塊),建行看來果然貪財.同時設計上,建行的口令卡只能用29次.而且是順序排列,加上沒有預留信息,直接給釣魚網(wǎng)站一個機會.假如釣魚網(wǎng)站誘惑你成功登陸后,就直接獲取了你的賬號(或者登陸名)、登陸(查詢)密碼.如果你對自己的錢款余額不太關注,可以誘騙你刮一次口令卡,然后盜竊團伙直接用這個口令卡上的口令就可以輕松搞定你戶頭所有的錢.

　　綜述:不建議有大額存款的人開建行的電子銀行.如果有開,看緊你的電腦,也要看緊你的口令卡,還要關心你自己的余額.

　　這里再解釋一下,工行和建行對釣魚網(wǎng)站的防御能力的區(qū)別.工行有一個預留信息,這個信息只有你自己知道.所以你登陸釣魚網(wǎng)站,釣魚網(wǎng)站無法提供你的預留信息,那么這一步上能夠避免細心的用戶被盜.同時,在使用口令卡過程時候,釣魚網(wǎng)站最多只能獲得工行口令卡里面某兩個框框的3位加3位的密碼,而盜竊團伙即使拿到利用盜竊到的賬號密碼到真工行上時候,由于只有隨機兩個框的密碼,正常情況下都不能符合工行的需要驗證的密碼框位置.所以釣魚網(wǎng)站無法竊取工行賬戶的錢.

　　但是建行就不一樣了,首先沒有預留信息.除非你從自己余額上知道自己登陸錯誤,否則很難發(fā)現(xiàn)你錯登陸了釣魚網(wǎng)站.然后盜竊團伙竊取到你的口令卡,直接就可以在真實建行上使用了.這個區(qū)別就是工行的口令卡是要隨機取兩個方塊的密碼組合起來,而建行就是直接依據(jù)固定順序,沒有隨機.

　　我自己現(xiàn)在對建行卡的態(tài)度就是,如果超過一定額度,立刻就轉到其他銀行卡上.而且我估計,未來建行還會發(fā)生大額存款丟失的事件.

　　興業(yè)銀行:最安全的不是手機

　　興業(yè)銀行在電子銀行里面是“新兵”.估計該行的用戶群和使用范圍同招行、工行、建行比都少一個數(shù)量級都不止.

　　雖然興業(yè)提供文件證書作為安全模式,但是和所有大銀行不同的是,文件證書必須交20元年費.所以到現(xiàn)在為止,我還沒有親身試用興業(yè)銀行帶證書模式的服務,我體驗到的模式是興業(yè)通過手機短信來確認最后密碼.具體如下:用查詢號碼登陸,轉賬時候,輸入取款密碼,同時興業(yè)會發(fā)送一條短信到用戶手機上,這個短信里面包含了一次性的驗證密碼.不少人認為同手機關聯(lián)的模式是最安全的,其實不然,我專門咨詢過一個地級市的移動工作人員,問他們的技術人員能否看到用戶的短信,對方給我一個非�？隙ǖ拇饛�.如果一個地市級別(不是省級)的移動工作人員就能看到所在區(qū)域某手機的短信,這個安全性立刻大大打折扣.興業(yè)銀行在轉資金時候,還要有取款密碼,這一點上,比工行、建行要好.(工行、建行如果有口令卡,轉款時候可以不要原來設置的取款密碼)

　　興業(yè)電子銀行最大的破綻我個人認為集中在手機上.因為丟手機,或者說,盜竊團伙偷手機還是比較輕松的,對于gsm還可以直接復制手機卡!就是說,盜竊團伙在定準一個人的興業(yè)e卡電子銀行,在套取到查詢密碼后和取現(xiàn)密碼(這個密碼因為用的少,安全性相對較高),只要有幾秒鐘控制用戶的手機,或者能夠復制用戶的gsm手機,或者能夠進入移動的網(wǎng)關,看到手機的短信記錄,下面就可以成功盜走所有現(xiàn)金.

　　綜述:興業(yè)電子銀行,看緊取款密碼比看緊手機更重要.因為手機時刻都有可能被盜閱讀,甚至gsm手機很容易被監(jiān)聽.建議用戶使用興業(yè)電子銀行時候,每日的轉賬上限還是適當保守一點為好.

　　恒生銀行:外資盛譽下的弱安全性

　　恒生是港資.我只是替別人操作恒生的賬戶.恒生提供web版本.如果只從投資買賣股票方面考量,恒生的安全性最低,只要用戶名密碼正確,就可以操作買賣港股.甚至沒有取款密碼做第二次校驗保障.

　　但是恒生對于存款5000元以上的用戶,如果你愿意申請,可以免費獲得一個數(shù)字口令密碼器(恒生起的名字是“保安編碼器”).這個編碼器同我們國內最流行的 u盾(ukey)不一樣,它不是usb插口,而是物理上完全獨立電腦,只是提供一個按鈕,按鈕上有數(shù)字.每次按鈕,可以活得隨機的數(shù)據(jù).(具體介紹地址: http://www.hangseng.com/hsb/chi/onl/sec/nsm/index.html)可以說,這個“保安編碼器”最基本的原理同工行的口令卡一致,比口令卡優(yōu)勢就是可以使用無數(shù)次,比口令卡劣勢就是,如果竊賊直接偷偷按了一下“保安編碼器”的按鈕,然后把隨機數(shù)(保安編碼數(shù))直接抄走,用戶根本不知道.(口令卡因為有刮開這個過程,所以,相對容易覺察是否有人盜刮).

　　我認為這個模式是不安全的.因為不能確保盜號能夠被發(fā)現(xiàn).

　　原來一直宣傳外資銀行如何好,假定不考慮服務質量,我個人覺的外資銀行(以恒生銀行標準來看)的電子銀行安全性遠不如國內的招行和工行,興業(yè).安全系數(shù)同建行差不多.唯一可取的是愿意免費提供成本較高的“保安編碼器”,但是恒生也只對存款達到一定額度的用戶才提供.

　　我個人并不認為,恒生銀行如果進入大陸發(fā)展,他的電子銀行并有什么優(yōu)勢可言.(暫定不考量其他功能和其他優(yōu)勢)

　　最后討論一下現(xiàn)在認可度比較高的u盾(或者u key).【usb口的電子銀行移動證書】

　　如果有ukey(u盾),在資金發(fā)生流動時候,必須插入這個硬件,同時搭配密碼.(招行還需要登陸密碼,取款密碼,加ukey,比其他行多一個取款密碼,安全性最高).同現(xiàn)在廣泛應用的口令證書相比,安全性更高,沒有口令卡的盜刮、影印問題.而且一旦丟失,用戶很容易發(fā)覺.同時不像手機,有人接觸ukey,估計用戶警惕性要比接觸手機要高.(我看到開會時候,大家都在互相玩對方手機,那時候,手機短信密碼安全性我想大打折扣).Ukey(u盾)最大的問題在于成本,一個需要70元左右,這個價格導致推廣起來困難重重.

　　【關于移動電子鑰匙的文章,建議閱讀“月光博客”的相關博文】

　　綜述,如果你有很多銀行賬戶需要打理,建議,你存款最多的銀行,還是掏錢買一個ukey(u盾)為好.要不,真的大熱天跑一次銀行,成本不會比70元少多少.

　　最后說一個題外話:國內工行(或者建行)在電子銀行被瘋狂盜竊情況下,利用口令卡,并付之實時,確實成本低廉.而且該模式是同電腦硬件完全隔離,安全性大大提高.口令卡是工行(或者建行)對國內電子銀行的最大貢獻.