央视网|中国网络电视台|网站地图
客服设为首页
登录

中国网络电视台 > 经济台 > 财经资讯 >

用户存疑网银被盗责任归属 或促二代U盾推广上市

发布时间:2011年04月21日 15:14 | 进入复兴论坛 | 来源:中国网络电视经济台

评分
意见反馈 意见反馈 顶 踩 收藏 收藏
channelId 1 1 1

  前段时间动态口令用户资金被盗案件集中出现之后,许多用户都纷纷开始使用安全级别更高的USBkey办理网银业务(USBKey是用于存储网上银行交易中进行身份认证与电子签名的数字证书工具的统称,不同银行叫法不同,例如工行叫U盾,农行叫K宝,建行叫网银盾)。

  然而,近期有一则新闻引起了公众对于使用USBKey进行网银交易时的担忧——“男子利用某银行U盾漏洞在30秒内盗走一用户29万余元”,乍看上去,可能也会引起众多网银用户的惊恐与不安:难道安全级别更高的U盾也不安全了吗?

  其实事实并非如此,我们只要详细地了解一下事情的来龙去脉,就能发现在这个案件当中,U盾并不存在漏洞,U盾中的数字证书安全机制也并未被人攻破,不法分子利用的是用户较差的安全防范意识导致的安全漏洞,才能在众多网银用户当中单单挑中这几个被害人,实施犯罪并得逞的。这就像保险柜厂家卖给用户一个牢固的保险柜,可却由于用户的疏忽使得自己的钥匙和密码被别人窃取,导致资金被盗。

  从报道的内容来看,我们可以看到受害人在安全防范上至少存在如下几点不足:

  1、未定期对使用网银的电脑操作系统进行漏洞修复;

  2、未定期对使用网银的电脑进行木马和病毒的查杀;

  3、网银密码设置过于简单,与QQ密码、邮箱密码等其它密码重复;

  4、使用U盾后未及时将U盾从电脑上拔下来。

  首先,正是由于受害人未采取上述第一、二项防范措施,因此其电脑成了俗称的“肉鸡”,被不法分子植入木马并窃取了网银账号与U盾登录密码,并远程操控了该电脑。

  这里需要明确的是,即使是使用U盾进行网银交易,用户的电脑也是要进行相应的防护。U盾的作用是在网银用户进行交易时,使用U盾中的数字证书对网银用户进行身份认证,对交易信息进行加密,并进行电子签名,而并非是用于查杀木马与病毒的工具,不能认为使用了U盾后其电脑就可以不用进行任何防范了。

  其次,在这个案件当中,受害人的网银交易密码虽未被木马程序直接窃取(可能是由于网银交易密码为软键盘输入方式,木马无法通过键盘记录的方式进行窃取),但正是由于受害人设置的密码过于简单(与QQ密码、邮箱密码重复),不法分子通过木马程序先窃取其它的密码,再通过猜测并试错的方式“曲线”获得了交易密码。

  另外,受害人使用U盾后若不及时将其从电脑上拔下来,那么也很容易在毫不知情的情况下被不法分子利用木马对电脑进行远程操控,调用U盾中的数字证书进行交易。

  由此可见,银行提供安全的认证手段确实是银行应当承担的责任,但是用户应当如何正确使用,如何从自身上做好安全防范,防止被人偷走掌握在自己手里的“钥匙”也是很重要的方面,否则就容易成为网银交易安全中的短板,成为在目前已经近一亿USBKey用户中不幸中招的极小部分受害人。

  同时,虽然从这个案件的交易过程来看,银行不用承担法律上的责任,但银行仍然可以采取一些措施,对其网银安全机制进行进一步的加固,例如:

  1、 可以对用户的USBKey附加一项功能,当用户USBKey插在电脑上未进行操作超过一定的时间后,可自动进行锁定;

  2、 在USBKey中加入可防止被他人进行远程操控的功能;

  3、 推广具有指纹识别、转账信息按键确认等附加功能的二代USBKey;

  4、 提高银行网银系统的防欺诈能力,对于一些对于大额、可疑的风险交易可自动进行识别并及时采取措施(如冻结账户等)。

  另外,有的用户可能会对此类案件中的责任归属心存疑义。在这种情况下,银行应当向用户发放合法第三方电子认证服务机构发放的数字证书。按照《电子签名法》等法律规定,数字证书应当由具有相应资质的第三方机构发放。若用户使用的是第三方电子认证服务机构发放的数字证书,那么该机构可以从独立于用户与银行利益的第三方角度,对用户使用USBKey中数字证书所做的交易进行电子签名验证,验证相关交易是否确由用户拥有的数字证书进行签名后才完成的。这对于用户和银行来说,相当于有一个公正的裁判来判定责任的归属,对于双方都是有好处的。

  总之,网上银行虽然给大家的生活带来了许多便利,但是公众在使用网银时,必要的防范措施仍然是不可或缺的。网银安全不仅需要银行端不断地加强安全机制,同时也需要客户端做好相应的防范,另外还需要第三方权威机构的保驾护航。只有通过各方面的共同努力,才能让不法分子无空可钻,网上银行才能放心安全地使用。(中国金融认证中心 提供)