|
|
google------------从网银交易过程来看,动态口令仅对用户身份进行认证,而没有对交易过程进行验证。待用户身份确定之后,“中间人”便拦截用户的转账操作,篡改数据后发送给服务器,而服务器没有办法区分给它发出转账指令的是用户还是木马,直接执行了转账,“中间人”再把服务器返回的信息篡改后显示给用户。这样,“中间人”就轻而易举地绕过动态口令,获取了用户的个人认证信息,完全控制了这次交易。而动态口令也就成为一个“形同虚设”的“保镖”,无法真正保护用户账户的安全。而实际发生的一系列案例,也证明了动态口令无法锁牢用户的账户。
真正的“防盗门”
中国金融认证中心总经理李晓峰先生认为:完成一个安全交易,在应用层面上必须保证交易双方不仅要有身份认证,要有保密、完整、未被篡改的数据,还需要保证这个交易是不可抵赖的,一旦与银行出现交易纠纷,这些都是必需的法律依据。因此,网银必须具备真正可靠的法律上认可的电子签名和证书,这才是问题的最终解决办法。
同样是使用双重身份认证技术,带有智能卡芯片的USBKey数字证书因采用了公钥体系(PKI),支持电子签名,它的安全性更高。由于USBKEY是单独的硬件设备,而新一代的USBKey还添加了交易认证技术,使得网络钓鱼攻击者也无法伪造用户签名,冒充用户登录服务器,也无法篡改用户的交易数据,从而抵抗类似“交易伪造”或“交易劫持”等针对交易而不是针对身份的攻击。 |
|
IP卡
狗仔卡
发表于 2009-7-8 19:52
显身卡
免费的啊