一 : 12详解中国银行的动态口令牌E-token
详解中国银行的动态口令牌E-token
2010年02月03日
当前,现在很多人都在使用网上银行进行方便的购物,交费等各项业务,本人对中国银行网上银行--动态口令牌觉得新奇,先作介绍:
自从在当地中国银行开了网上银行后,收到了1个特别的小玩意--动态口令牌,我也办过别家银行的网上银行,浦发银行有手机密码验证,招商银行可以手机信用卡支付,工商银行有U盾,但这个小玩意以前还没看到过。
这个东西依靠自带干电池驱动,没有任何按钮,也不能关闭。只有1个液晶屏幕预示着六位的动态密码,每隔60秒钟变换一次,感觉很像007内里的控制卫星的密码设备。E-token是用的128位密码加密,在反面有1个9位数码的编号。在开通的时候,柜员将每个口令牌和账户绑定,这样办事器端和口令牌的密码就能保持同步,看起来这玩意科技含量不小啊。
动态口令牌Etoken是采用RSA算法和技能,我所拿到的是SID700型,上taobao查了一下,1个卖200多,看起来中行这次是下了不少成本,引进外洋技能,再不收费发放。顺便说下,首年免年费,第二年起可能是20元年费。在网上搜索了一下资料,找到了这样一篇介绍的动态密码口令成长历史的文章(原文仿佛打不开了)。
在1982年,贝尔实验室的一位研究人员在一篇论文中提出了一次性口令的预设方案,这样其他人即使破解了密码,也无法再次施用。这是第一次比较体系地提出了动态口令的问题及解决方案。随后,美国RSA公司发现了这项技能的价值,对动态口令进行了深入的研究和改进,提出了"时间同步技能",1984年声请了专利,1986年开拍发第1个动态指令产品SecurID,并且在香港的工厂里生产出了第1个动态口令产品。
可是,真正让这个产品成功的是在Security Dynamics Inc.从各处买进RSA之后。他们熟悉到RSA本身品牌的巨大价值与商业时机,保留了RSA的品牌,并将过去首要与操作体系或体系软件进行捆绑的销售方式转向应用领域,不久就在银行、政府、军队、保险和企业内部安全等领域取患了巨大的成功,并最终成为1个年销售额2.8亿美元(2000年数码)的上市公司。
在美洲,RSA现在已占领动态口令市场70%的份额,2001年已生产出第1000万块SecurID。
RSA很久已想打开中国市场。随着外洋一些知名企业步入中国,他们在内部办理中施用的动态口令技能也踏上中国的地盘。RSA为了给这些个外企提供办事, 1995年在中国内地配置了第1个办事处,1996年在中国第一届国际通信展上,RSA将其全线产品介绍到中国。可是因为其时我国的网络市场还处于起步阶段,绝大多数人还不懂得网络究竟能干什么,更不消说安全问题,以是,险些没有人注重到这个东西。后来韩国的厂商也试图在国内倾销类是的产品,同样无功而返。
可是市场反应的冷淡,并不申明中国人不关心这项技能。早在20世纪90年代中期,国内的电子工业部第15所、中科院研究生院、DCS中间(中国数码安全技能研究中间)、国家安全机谈判一些科研院所就在跟踪外洋动态口令与密码技能的成长,并做出了一些样品。不过直到1997年,福建凯特才从国家DCS 中间取患了这项技能,将其变成为了1个产品,成为国内第1个吃螃
蟹者。只是市场环境一直不乐观,到2001年底,咱们可以找到的施用国内动态口令产品的用户不超过10家,而即使国内最早步入此领域的福建凯特,也是利用体系集成和软件开发的收入来补贴这一部分的亏损,其他的厂商就更不必说了。
与其他的网络安全产品相比,动态口令技能在国内的成长有点特殊。例如:防火墙技能在外洋是20世纪90年代初呈现的,而1995年、1996年国内很多核心部门就已大量采用;CA证书与数码署名在外洋呈现不久,国内的银行就开始筹建CA中间(CFCA);而防病毒技能更是与外洋完全同步,甚或还有更先进之处。动态口令技能的第1个产品呈现在1986年,90年代初期开始在外洋大量施用,可是直到2001年,咱们才开始熟悉到它的重要性。在这个领域,咱们整整落后了10多年!
这此中有很多因素:首先是因为国家密码委等安全机构对安全产品有着严格的限制,只有指定的单元可以开发、生产、销售,同时外洋的产品也很难步入中国非商业加密市场。其次,我国的网络市场基本都采取了"先开放、后安全"的策略,就是首先建立网络体系,采用整张纸放的策略,先产生应用,然后随着应用的丰富,熟悉到安全问题之后,再进行安全防护。特别是我国的电子商业上的事务尚处于起步阶段,商业加密市场的需求并不火急,再加上外洋产品的价格比较高,影响了其在中国的推广。
而从2000年开始,中国的网上买卖业务得到了突飞猛进的成长,特别是网上买卖业务与网上银行的用户更呈爆炸式增长。在高速增长的同时,呈现很多与网络安全有关的问题,例如:信用卡仿造、股票盗卖等等,让各人熟悉到商业加密的重要性,以是,动态口令产品才获患了国内市场的青睐。
[b]技能[/b]
在动态口令技能中,最常提到的1个词就是"双因素",实际上这是密码学中的1个概念。从意见上讲,身份认证有三个要素:
[quote]
1. 你所懂得的:例如密码、身份证号码;
2. 你拥有什么东西:例如1个动态口令卡、1个IC卡或磁卡;
3. 你拥有什么特性:例如指纹、瞳孔等等。
[/quote]
普通的用户名与密码只实现了第1个要素,而动态口令实现了第二个要素。与信用卡或IC卡这类静态设备相比,动态口令卡提供的信息是可变的,进一步提高了安全性。
以是,凡是所说的双因素就是指这两个方面,并将静态认证变成为了动态认证。当然,不同的厂家对双因素的解释也不完全相同。按照RSA的讲法,在用户输入口令时,首先输入你的PIN
码(PIN是Personal Identified Number的减写,即个人识别码,凡是是动态口令卡的开机密码或其他身份识别码),然后再输入你的动态口令,这就是双因素。另外一种讲法就是你首先要输入1个密码(PIN)打开你的动态口令卡,然后才能得到这个动态口令。以是对动态口令来说,单独掌握PIN码或者动态口令卡,没有丝毫的意义。
现在还有的厂商说自己的产品是三因素、四因素,但从本质上来说,都是双因素法。
现在各人都非常存眷动态口令在网上买卖业务与网上银
行的应用,可是,动态口令的市场非常广漠,金融行业只是它的应用领域之一。按照外洋的经验,咱们可以将动态口令的市场进行区分清楚:
一是高端市场,例如:政府、军队、国家机要部门,他们采用这种技能不考虑成本,安全是第一位的,非常夸大产品的安全性、可控性、不变性。因此,这类产品的价格凡是会很高。
二是大企业内部办理。1个员工可以采用动态口令技能步入公司的内部网络,进行合法操作。此外,对金融或证券机构的内部人员,他们通过动态口令来确认用户的身份与访问职权范围,这样就可以防止内部用户盗用其他人的密码,以其他人的身份进行不法操作。这类产品凡是需要与职权范围办理、核心业务体系联合,例如:动态口令需要与Directory Server, Microsoft Active Directory联合,并加上传道输送加密、CA证书。
三是低端市场。首要是指金融、证券对外办事,例如:银行可以给其储户提供动态口卡,提高网上银行、网上证券、电子商业上的事务的安全性。这一类产品的价格凡是比较低。
步入2004年,信息体系的安全问题已摆上了很多公司的议事日程,证券行业、金融行业的很多公司已步入了相关体系的调查研究实施阶段。深圳的国信证券和金牛期货掮客公司都已开始施用这项技能。1个巨大的市场已逐渐揭示在人们面前。
RSA的成功像旗帜同样理睬?呼唤着后来者。现在国内很多厂商都在试图步入这个领域,而且投入了大量的财力、物力。动态口令的生产厂商已从一家,变成为了20多家。
在动态口令卡的市场中,外洋产品因为受到国家政策的限制,特别是1999年10月7日第273号国务院令《商用密码办理条例》公布之后,步入国内市场的困难程度加大。于是有的就采用打擦边球的方式,有的则将市场首要定位于外企内部办理领域。而国内的动态口令开发商并不能因此而感应轻松。目前,他们的产品绝大部分都集中于第三类市场,技能差异很小,只能在价格上展开竞争。可以预见,几年以后,价格战将不可制止,而价格战必然导致办事质量的下降。
而动态口令卡恰正是一项需要持续售后办事的产品。特别是网上买卖业务与网上银行用户遍布全国,就需要1个同样遍布全国的网络为客户提供办事,例如动态口令卡的干电池更换、挂失、维修等。如果各人都去为了占领市场而进行价格战,后续的办事无法跟上,肯定会影响这个产品的进一步推广。
同时,国内动态口令的开发商大多采用了RSA的"时间同步"技能,也都在宣传自己的产品如何好、价格如何低,可是都在回避1个问题,就是1984年 RSA 为"时间同步"及相关技能声请了专利,而我国插手了世界知识产权保护组织,RSA公司的此项专利也受到我国法律的保护,这会不会出问题呢?
比利时有家公司叫做Vasco(现在已被美国一家公司从各处买进),他们采历时间同步技能开发了动态口令产品,并在欧罗巴洲市场取患了很好的效益。但好景不长, RSA一纸诉状将其告上法庭,后来Vasco不得不花费大量金钱与RSA在庭下息争。随着动态口令在国内的不停普及,类是的环境也很可能会呈现。国内厂商应该早一点熟悉到这个问题,充实利用专利保护期及相关法律保护自己,做到有备无患,制止不必要的贫苦。
从本质上看,动态口令并非一项高深的技能,实现起来也不复杂。正因如此,它的商品化历程是比较复杂的,例如客户端的产品预设、操作的易用性、办事器的安全控制等等,都会花费很长时间。此外,还要投入大量的宣传费用,让市场、客户了解这项产品,熟悉到它的价值。据业内子士分析,这项产品的开发与商品化之间的费用比为1:10,也就是说如果花1元钱用于技能开发,商品化的历程就要花费10元。同时,1个产品是否成功与很多因素有关,例如:步入市场的时间、客户对产品的认知水平、产品的机能与价格、政策法律社会环境、偶然因素等等。这正申明为什么外洋曾有上百家动态口令的开发商,现在成功的却只有几个。我国的动态口令卡市场,现在也正在踏上同样的门路。
动态口令也不是绝对安全的,它是软件,也是硬件,以是其他软件、硬件有的毛病它也都会有。动态口令卡可能的隐患包括:
1. 发卡机构。例如:体系的开发商、施用机构等。每个用户都需要1个生成动态密码的卡片,犹如你的信用卡。如果用户丢失这个卡,挂失之后,发卡机构可以重新给你复制1个相同的卡。那末如果卖力发卡的人真想盗用账号,就可以利用他所掌握的职权复制任何人的卡。
2. 体系办理员。现在多数动态口令卡都是通过时间同步来计算动态口令的,如果体系办理员不小心修改了体系时间(这是很容易产生的纰缪),则可能会对整个体系造成极大的杂乱,使整个买卖业务体系瘫痪。
3. 办事器。现在动态口令办事器采用的操作体系凡是是Windows 2000或Unix平台,而这两种操作体系的本身存在着很多"漏洞",很可能成为黑客或病毒的进犯方针,即使他们无法偷盗用户的账号信息,也可能会使整个买卖业务体系瘫痪。
4. 加密方式。现在各个厂商施用的加密原理、认证方式都不完全相同,有的采用公开的加密方法,有的采用自己开发的加密方式。施用自己开发的加密方式的产品,没有人能够证明他的加密方式是安全的。特别是开发人员很可能为自己保留一些"后门"(这种工作在外洋的很多银行体系中已发生过),就会成为整个体系最大的隐患。
5. 动态口令体系本身的可靠性。因为现在国内的多数动态口令体系都是新呈现的产品,其可靠性、安全性并无经过实践检验,例如:处置惩罚并发的能力、灾难恢复的能力、对异样进犯的提防能力等。
针对以上可能的隐患,成都金本华科技有限公司给用户提供专业的解决方案:
[quote]
在双因素动态口令认证体系中,口令卡是不可复制的,即使挂失,会重新分配一块不同的卡,原口令卡作废,
体系办理员做的任何办理事务都有可审计的详细日记。
加密方式采用公开的加密方法和自己开发的加密方式相联合的方式。
对实时体系,可提供认证办事器多机冷热备份。
[/quote]
在中国银行的网站上,也找到了关于动态密码的Q&A:
quote>
2、什么是动态口令牌?
回答:"中银e令",即动态口令牌是一种内置电源、密码生成芯片和预示屏、按照专门的算法每隔一定时间自动更新动态口令的专用硬件。基于该动态密码技能的体系又称一次一密(OTP)体系,即用户的身份验证密码是变化的,密码在施用过一次后就无效,下次登录时的密码是完全不同的新密码。作为一种重要的双因素认证工具,动态口令牌被广泛地运用于安全认证领域。动态口令牌可以大大提升网上银行的登录和买卖业务安全。
6、动态密码的更新频率是多少,密码有多少位?
回答:动态密码每60秒RAND更新一次,长度为6位。
7、动态口令牌的有效期有多长?超过有效期后,如何进行处置惩罚?
回答:动态口令牌的有效施历时间为出厂后三年(无效日子标示于动态密码口令牌反面)。超过有效施历时间后,动态密码口令牌将自动无效。
八、动态口令牌与用户之间是怎样的关系?
回答:每个动态口令牌都有1个唯一的序列号(序列号标示于动态口令牌反面),用户声请动态口令牌时,我行将建立动态口令牌与用户姓名、证件类型、证件号码的唯一对应关系。
九、动态口令牌如何声请?
12详解中国银行的动态口令牌E-token_etoken
回答:用户可带着有效身份证件(企业客户需要提供组织机构代码及声请)前往本行指定营业网点声请开办动态口令牌,支付相关费用,本行审核通过后即可为用户发放动态口令牌。
10、动态口令牌为何步入锁定状态,锁定后如何处置惩罚?
回答:锁定:系指用户的动态口令牌已被锁定。某一用户施用动态密码进行登录或买卖业务验证时,如连续验证失败超过10次,为制止您的动态口令牌被不法歹意尝试,保护您的资金安全,体系将自动锁定与该用户绑定的动态口令牌,拒绝用户登录。此后即施用户输入不错密码,也无法登录。用户登录网银时,体系将提醒相关信息。动态口令牌被锁定后,用户须填写声请表格、保有效身份证件及动态口令牌(如非本人办理还需带着委托书)前往我行营业网点办理动态口令牌的解锁。
11、动态口令牌如何挂失、解挂和补办?
回答:用户的动态口令牌如遗失,须填写声请表格、带着有效身份证件(如非本人办理还需带着委托书)前往本行指定营业网点声请挂失。办理挂失:本行将权时为用户停用动态密码口令牌,不允许登录网银体系。挂失后,可办理补办动态密码口令牌,也可办理解挂,解挂后原令牌可继续施用,无需申领新的令牌。补办动态密码口令牌时,用户需填写声请表格、保有效身份证件,前往本行指定营业网点支付相关费用后,由营业网点为客户补办动态密码口令牌。解挂时,客户须填写声请表格、保有效身份证件(如非本人办理还需带着委托书),以及挂失的动态口令牌前往营业网点办理。
这种口令牌采用的是rsa算法,关于具体算法我也不懂,不过在金融领域的加密永远是采用最先进的加密方式,这种每分钟变换一次的的加密方式,估计就是破解出来了一分钟以后也就无效了。这就正如早期战争中广泛施用的密码本,这是一种最安全的加密方式,不消任何算法,没有密码本就是死也猜不出来。
转载自
6
二 : 中国银行的动态口令牌原理
什么是动态口令牌?
答:动态口令牌是1种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。基于该动态密码技术的系统又称一次一密(OTP)系统,即用户的身份验证密码是变化的,密码在使用过一次后就失效,下次登录时的密码是完全不同的新密码。作为1种重要的双因素认证工具,动态口令牌被广泛地运用于安全认证领域。动态口令牌可以大大提升网上银行的登录和交易安全。
动态口令牌有哪些优点?
答:动态口令牌的优点集中体现在不仅非常安全,而且使用非常方便。动态口令又称一次性密码,每60秒随机更新一次,其优点在于1个口令在认证过程中只使用一次,下次认证时则更换使用另1个口令,使得不法分子难以仿冒合法用户的身份,用户也不需要去记忆密码。动态口令牌的使用十分简单,无需安装驱动,用户只要根据网上银行系统的提示,输入动态口令牌当前显示的动态口令就可以。
动态口令的更新频率是多少,密码有多少位?
答:动态口令每60秒随机更新一次,长度为6位。
动态口令牌的有效期有多长?
答:动态口令牌的有效使用时间为出厂后三年(失效日期标示于动态口令牌背面)。超过有效使用时间后,动态口令牌将自动失效。
我的动态口令牌为什么被锁住了,我该如何处理?
答:使用动态口令进行登录或交易验证时,如果动态口令连续输错10次(单日或多日累计),系统将自动锁定该动态口令牌,您需要携带本人有效身份证件和一张关联了新版网上银行的银行卡或存折到柜台办理解锁。
token一般还有固定的PIN,是4到8位的数字/字母,别人拿到你的token而不知道你的PIN也是没用的.
这个是现在最安全的网银方式之一,欧洲很多银行网银都是这么做的。
**************************************
关于中行动态口令牌原理
问题补充:E-TOKEN该装置拥有内置芯片和1个可以显示多达6位数字的LCD窗口,但其体积很小,可以系在钥匙环上。我们在柜台发售这种装置时,与网银用户绑定建立一对一对应关系,使用唯一的128位种子将其初始化;其内部芯片每分钟都会使用1种算法,组合该种子与当前时间,生成1个随机的数字。而在我行网银认证服务器则采取和这个动态密码器同1种算法产生该随机数字,保证动态密码器和我行网银服务器的单一认证,就像每个客户都有了世界上独一无二的身份认证,保证客户使用网银的安全性。
对于失去时间同步的令牌,目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步,确保其能够继续使用,降低对应用的影响,但对于超出默认(共20分钟)的时间同步令牌,将无法继续使用或进行远程同步,必须返厂或送回服务器端另行处理。
***************************
中国银行去办卡并开通网上银行~没想到中国银行的网上银行升级了,还发了个“动态口令牌”每分钟变换一组6位数的数字。网上银行上的关键操作都需要输入这个口令牌上的数字~
当时一时脑子发热很兴奋的想着,这中国银行的服务器得多强悍啊~这么多用户都无线连接到服务器....想到这里,瞬间就醒了~还真把中国银行当中国移动使啊~
其实无非就是服务器端和这个“动态口令牌”都使用同样的一套算法,可以自定义计算数组的时间间隔,每批次“动态口令牌”都拥有唯一的序列号,然后服务器端和“动态口令牌”执行相同的计算程序,在设定好的相同的更新时间计算出新的数组...
事实上~服务器跟跟这个E-Token的动态口令牌米有直接联系,也8可能直接联系~就是根据唯一的序列号,利用公式,你算你的,我算我的。但可以保证算出的数字都是一样滴而且在同一时间更新~
想出这种动态口令方式滴家伙还真是脑子灵光得紧哈~赞一记~这样就方便多了。不用手机短信,不用插拔U-KEY……大大简单了操作流程但也保证了安全性~
就这个E-Token动态口令牌,在方便了我使用网上银行的同时也让我对中行印象有了少许改观~期望他们百尺竿头更进1步,更人性化些,能更多点为用户考虑...
*************************************************8
我支持设置转账限额,但我认为应该在柜台设置,不是因为我不相信TOKEN的安全性,而是因为推广时多1个卖点,或者说给客户多1个选择,但亦有部分同事认为这样做增加客户办理手续,持反对意见,实际推广中,我们收到更多的声音是客户经理反馈客户觉得我们的限额设置太低。。。
我相信总行亦同时收到正、反,甚至多方面的意见,正在研讨。
我觉得,如果客户不认同TOKEN的安全性,那么,验证2次TOKEN口令(登录一次,转账交易一次)和验证10次TOKEN口令有什么分别呢。
另外,什么时候个人也可以选择CA登陆?如果可以将改成CA登陆,从中行的交易额度限制看,USBKEY要比ETOKEN安全多
--------实际上,据我所知,CA和TOKEN在企业网银限额不同,不是因为两者的安全性有高低,而是因为另有原因,不便说明。
***********************
7种武器确保中行网银安全古龙先生笔下有“7种武器”,象征正义战胜邪恶的力量。武侠世界中它们的主人携之叱咤江湖,御敌防身。中行有关负责人表示,中行也为客户提供了“7种武器”,保护中行网银的安全,任客户在多姿多彩的网上银行天地中享受轻松安全的现代生活:
一、多情环:用户名+密码
多情环本名双银环,总是成对出现,这双环无论套住了什么,立刻就紧紧缠住,绝不会再脱手。
中行网银提供用户名(6-20位数字和英文字母)和密码(8-20位数字和英文字母)的基础性防护,构成网上银行的第一道防线。
二、长生剑:动态口令牌
剑乃兵中君子,孰意百炼钢,化做绕指柔。剑性属柔,柔中有刚。轻快敏捷如脱兔、洒脱飘逸似处子。剑法最为变幻莫测,攻守兼备,是古人雅爱的佩饰之物。
中行网银的动态口令牌(E-Token),提供一次性密码验证,每60秒随机更新一次,正如剑法的变化莫测,1个口令在认证过程中只使用一次,下次认证时则更换使用另1个口令,使得不法分子难以仿冒合法用户的身份。动态口令与“用户名+密码”的双因素认证,保证了用户身份的合法性和唯一性,有效地保障了客户的网银安全。
三、碧玉刀:安全控件
刀乃百兵之胆,碧玉刀晶莹翠绿,刀光柔和而杀气不减,碧光闪过斩断一切仇敌。一刀两断,象征其简练、干脆。
中行网银提供的安全控件可以切断键盘操作与木马病毒之间的通道,防范恶意程序的攻击,斩断可能的密码泄露渠道,更好地保护网上银行用户的信息安全。
四、孔雀翎:中银e信
孔雀翎,世之宝兵,尊为暗器之首,至华丽,出则杀敌于无形。暗器往往制敌于无声无息之中,对方还未发现时,已然被暗器取了性命。
中国银行向网银客户提供短信提醒服务——“中银e信”。客户可根据需要定制一系列提示信息,如网银登录提醒、网银密码连续输错提醒、转账汇款提醒、预约指令结果通知等,以随时了解网银变动情况。当有不法分子登录客户的网银进行操作时,中银e信帮客户及时发现,使客户能悄然出招制其于无形之中。
五、离别钩:预留信息
离别钩似剑而曲,似刀非刀,寒光闪处,离别钩至。离别钩,当然是1种武器,它的用途却与一般的武器大为不同,离别是为了相聚。
预留信息是提高客户对假网站辨别能力的1种简单有效的方法。设置好“欢迎信息”后,在每次登录时,该信息将显示在欢迎页面上,如该网站未能正确显示客户预留的欢迎信息,说明该网站不是中行网站。客户能借预留信息辨别网站真假,及时退出虚假网站。
六、霸王枪:安全组合服务
枪为百兵之祖,更是长兵器之王。枪长而锋利,使用灵便,取胜之法,精微独到。枪法组合精妙,招招配合,御敌于近身之外。
中行网银提供交易限额控制、登录超时设置、密码保护、登入记录及安全退出按钮等组合服务,多项措施降低风险,有效地提高客户的网银安全。
七、拳头:中行网银专属服务热线
拳头是最直接、最有效、最可靠的武器,但又可以说不能称其为1种武器。古龙先生将拳头与其他6种武器放在一起,强调的是小说中主人公与朋友的情谊,他对朋友真诚,朋友也对他真诚,他愿为朋友去死,朋友也愿为他去死。
中行网银专属服务热线40068-95566,为客户提供热情服务和专业解答。客户可以通过该热线办理网银挂失、注销等业务。当客户在一段时期内暂不使用网上银行,又不想注销时,就可以通过客户热线申请办理挂失暂停服务,避免期间被不法分子登录,提高客户的网银安全。
听完中行人对网银安全形象生动的全面解读,记者充分感受到中行对网银安全研究之深,解决之透,也明白了安全性为什么成了中行网银的重要卖点
*********************************
中行网银:将安全放在首位
张小姐开通了中国银行网上银行,方便快捷的操作使她理财省时省心,但她在转账或缴费时往往心存顾虑,希望了解在网上操作时如何使她的资金安全得到最大限度保护。
保障您的资金安全是中国银行首要考虑的问题。中国银行网上银行采用了多重防护措施,形成了相对完善的安全机制,以解除您的后顾之忧。当然,增强安全意识,正确操作网上银行也是您需要关注的问题。
中国银行为您提供了什么样的防护措施?
三道防线保证网上银行用户的资金和信息安全
中国银行网上银行登录采用双因素认证(第一因素:“用户名+密码”,第二因素:动态口令),重要交易通过动态口令进行再次身份验证,从而构成保护网上银行的三道防线,有效地保证了用户身份的合法性和唯一性。
第一道防线:由网上银行用户名(6—20位数字和英文字母)和密码(8—20位数字和英文字母)组成的基础性防护。
第二道防线:动态口令牌随机生成的动态口令(6位数字)。动态口令牌(E-Token)是1种内置电源、密码生成芯片和显示屏,根据专门的算法每隔一定时间自动更新动态口令的专用硬件。动态口令牌的使用十分简单,无需安装驱动,用户只要根据网上银行系统的提示,输入动态口令牌当前显示的动态口令就可以。
动态口令又称一次性密码,每60秒随机更新一次,其优点在于1个口令在认证过程中只使用一次,下次认证时则更换使用另1个口令,使得不法分子难以仿冒合法用户的身份,用户也不需要去记忆密码。
第三道防线:用户使用网上银行进行他人转账,投资服务的开通,基金、国债业务的开户,代缴费,用户名/密码找回等重要事宜时,需再次输入动态口令进行身份验证。
众多安全措施构成全方位防护网
1.安全控件防范恶意程序。
安全控件主要用于防范恶意程序的攻击,如木马程序等,它是通过切断键盘操作与木马病毒之间的通道,来更好地保护网上银行用户的信息安全。
2.图形验证码防范黑客攻击。
针对一些黑客利用不断试算网上银行登录密码的手段试图“猜”中用户密码的情况,中国银行在网上银行登录页面、重要交易页面采用图形验证码,以防范黑客攻击。图形验证码通过只能由肉眼识别的异形图文对登录进行再次验证,最大限度地防止非法程序读取信息。
3.其他安全措施。
预留“欢迎信息”辨别假网站:
您预留的“欢迎信息”是提高您对假网站辨别能力的1种简单有效的方法。您设置好“欢迎信息”后,在每次进入中行网站时,该信息将显示在欢迎页面上,如该网站未能正确显示您预留的“欢迎信息”,说明该网站不是中行网站。
登入记录监控异常情况:
您进入中行网站后,网上银行欢迎页面将显示上次“登入记录”,便于您核对实际登录情况,如发现异常可及时采取措施。
登录保护防范恶意攻击:
为避免他人恶意试取您的登录信息,同一用户一天登录验证连续5次无效,网银即暂冻结该客户登录,次日零时自动解冻;同一用户多日连续登录验证无效累计15次,即锁定该客户登录,需要客户持有效身份证件到银行柜台解锁。
控制交易限额降低风险:
您可自行在网上银行中设置转账汇款等交易的每日最高金额,有效控制风险。
专用按钮保证安全退出:
网上银行页面右上角设有“退出”按钮,每次使用网上银行后点击“退出”按钮,再关闭浏览器结束使用,保证安全退出系统。
柜台关联账户确保身份真实:
严格确认客户身份,保证客户身份及关联账户的真实性。
您在操作网上银行时要注意什么?
尽管中行为网上银行建立了相对完备的安全机制,保障了银行交易系统的安全,但您也需要增强安全意识,养成良好的网上银行使用习惯,只有如此,才能充分保证您的资金和信息安全。
登陆正确网址
请在浏览器地址栏内直接输入中行网址:www.boc.cn,从该网址登录中行网上银行,以避免虚假链接,谨防假冒网站。
妥善保管动态口令牌
请妥善保管动态口令牌,一旦丢失,您将无法使用中行网上银行,还可能影响您的网上银行安全。如不慎丢失,您可拨打中行营业网点电话办理口头挂失,也可立即到中行营业网点办理挂失或注销手续。
妥善保护账号、密码等个人重要信息
1.在任何情况下,坚持账号和密码自己保管,不透露给任何人的原则。不要相信任何通过电子邮件、短信、电话等方式索要账号和密码的行为。若有任何怀疑,请立即致电40068—95566。如您不慎向不明人员或网站提供了网上银行密码,应立即登录网上银行或到银行网点重置用户密码;
2.不要使用电话号码、车牌号、身份证号、出生日期等容易被别人猜到和窃取的信息作为密码,密码应是8位以上数字母的组合,并尽量避免规律组合,以增强保密程度;
3.要为自己的网上银行设置专门的用户名和密码,以区别于您平时在其他网站使用的各类密码,避免因某项密码的丢失而造成网上银行密码的泄漏;
4.不要在网吧、图书馆等公共场所使用网上银行,以防他人窃取账号和密码。
相关链接
巧用网上银行增值服务:
1.请在初次使用网上银行时按照提示下载并安装中国银行网上银行的安全控件;
2.在网上银行服务设定中设置“欢迎信息”,以有效识别真假网站;
3.根据您的需求在网上银行个人设定中设定每日转账、缴费、投资交易限额;
4.每次使用网上银行后及时点击“退出”按钮,安全退出。
如何保证您的计算机安全:
1.定期下载安装最新的操作系统和浏览器安全程序或补丁;
2.安装个人防火墙,防止黑客入侵您的计算机;
3.安装并及时更新杀毒软件,防止计算机病毒入侵;
4.不要轻易下载或点击一些来历不明的软件或邮件。
*****************************************
当中行的网银用户达到100万后,在同意时刻会至少有2个人的密码是一样的吧?因为E-Token只有6位数,要是改成8位数就安全多了,现在瑞典的也用这个东西和USBKEY
就算中行网银达到100万,
登录网银包括用户名、口令和E-TOKEN密码,
具体交易又需E-TOKEN密码,
同时登录,输入口令,又同时输入密码的概率,微乎其微吧!
当然我觉得KEY还是应该及早推出,毕竟E-TOKEN的交易金额限制太小!
这个问题曾经咨询过,回复由于有部分小银行及外资行没有参加人行的全国小额支付系统,需要进1步梳理。虽然2.0上线一星期,但我们的工作并没有因为2.0的上线而有所放松,新功能的调试、收费政策的研究制定、业务规则的整理、柜员们的培训、基层和客户的疑问解答、网银的营销计划和活动安排都迫在眉梢,一丝不敢松懈。请多多理解。
*******************************
个人认为,CA数字证书应该与E-TOKEN结合起来。不使用CA证书的,交易限额就按现在的标准,如果使用CA证书和E-TOKEN即可加大交易限额。
*****************************************
近年来,不断出现的网上银行安全事件引发了一连串关于“网上银行到底安全还是不安全”的争论和探讨。其结论大体是,银行认为网上银行从技术上讲是非常安全的,出现问题的原因主要是用户的安全意识淡薄和防范措施不够;而消费者则认为银行应该对安全事件负主要责任,网上银行应该既能防范黑客入侵又能防止账户被盗。其实,银行已经建立了比较完善的诸如数字证书等安全认证手段,用户只要严格按照相关规定进行操作,安全问题就基本可以避免。但如此简单的道理和方法,为何个人素质普遍较高的网上银行用户却不知道、不理解或不愿使用呢?尽管安全的网上银行需要银行和客户携手打造,但是银行作为网上银行的发起者和推动者,在保证网银安全方面无疑起着主导作用。对银行来说,网银安全决不仅仅是技术层面的问题。技术之外,银行还有很多功课要做。
日前,本刊记者采访了美国银行(亚洲)CIO梁建文和信息技术部副总裁赵文昌,美国银行(亚洲)在保障网上银行安全方面的一些做法也许能够给国内银行一些启示。
网银服务体现客户关怀
美国银行(亚洲)成立于1912年,为香港最高评级的银行之一,在香港和澳门设有17家分行,提供多元化的个人及商业银行服务。据赵文昌介绍,美国银行(亚洲)于1999年开始提供网上银行服务,最初只开展了一般性银行业务,2001年开始发展一些与投资有关的服务,比如股票、基金买卖等。2002~2005年,将工作重点放在网上银行安全建设方面。
美国银行(亚洲)网上银行的特色表现为简单、易用、专业,从页面设计到所提供的服务都体现了以人为本的理念。登录美国银行(亚洲)网站,就可看到如下声明:本行保障网上银行服务客户不会蒙受任何因第三者欺诈所导致之损失。若客户方面并无严重疏忽或欺诈,并于90日内向银行举报未受权之交易,您将无须承担任何未经受权而经其网上银行账户现金支出的损失。
美国银行(亚洲)之所以敢于承担责任,因为其采取了许多安全措施。首先,网上银行必须使用双重认证才能完成转账业务,而使用简单的用户名/密码方式只能查询账户余额。其次,银行为网上银行用户免费提供手机短信或E-mail提醒服务,用户通过网上银行从事电子商务活动,当银行账户发生变动时,可在第一时间获得通知,用户可以自己订制通知服务的形式及确定通知金额。赵文昌说:“美国银行(亚洲)充分利用提醒服务与客户保持联系,提醒服务不仅包括定期存款到期通知,汇款到账通知,账户余额不足通知,股票、基金价格提醒,网上招股通知,甚至客户的生日、纪念日提醒,只要客户提出要求,银行都可以提供。”
除技术手段外,用户教育也是美国银行(亚洲)网上银行安全策略的重要组成部分。梁建文指出,用户的安全防范意识是保证网上银行交易安全的前提。针对目前比较普遍的通过假冒银行网站骗取用户输入用户名和密码,盗取用户金融资产的网络钓鱼事件,美国银行(亚洲)现阶段用户教育的主要内容是指导用户区分真假网站。”
梁建文告诉记者,美国银行(亚洲)网上银行的定位是传统银行服务渠道的补充。“我们并没有考虑通过网上银行挣大钱。主要是为了提供更为方便、便捷的服务。有些服务是收费的,比如股票、基金的买卖,这些服务的收费比网点相对便宜一些,因为是自助操作,而网上查询、缴费都是免费的。提供网上银行服务是希望减轻网点工作量,让网点可以更好地从事产品营销工作。”
兼顾安全与便捷
网上银行的安全性和方便性就如鱼和熊掌,不可兼得。目前,香港银行普遍采用的认证方式是香港邮政局配合智能身份证颁发给香港市民的单位数字证书(e-Cert),单位数字证书与国内网上银行使用的数字证书类似,只不过国内银行发行的数字证书各自独立,不能通用,比如使用工行发放的数字证书无法登录招行的网上银行。而香港市民只要拥有1个单位数字证书即可使用各家银行的网上银行服务。
即便如此,e-Cert还是在方便性上遭到了质疑。由于数字证书存放在智能卡中,只有在安装了智能卡读卡器的计算机上才能使用,同时,使用数字证书还须将其拷入硬盘并安装驱动程序等,繁琐的步骤常令用户望而却步。
梁建文认为,银行需要在安全性和方便性之间找到平衡点,在确保用户资金安全的前提下,考虑网上银行的易用性和可靠性,尽可能提供方便、快捷的银行服务。为此,2006年7月底,美国银行(亚洲)推出了网上银行安全认证令牌(Token),作为网上银行双重认证服务的第二种选择。
安全认证令牌是1个编码器,用户在网上银行进行高额金融交易时,输入安全认证令牌显示的一次性口令(OTP,One TimePassword),就可以获得与使用数字证书同样的安全保障。
梁建文说:“美国银行(亚洲)此次采用的RSASecurity令牌认证技术,每分钟能产生和显示不同的编码,用户无需安装任何硬件和软件,即可使用。与数码证书相比,令牌认证方式不但能提高网上银行的安全性,降低欺诈风险和身份识别的成本,而且可以简化安全认证的步骤,提高用户使用网上银行服务的积极性。长远来看,有利于降低银行的交易成本。”
美国银行(亚洲)所采用的RSA Secure ID令牌由六个部分组成:处理器、电池、时钟、LED显示屏、RSA的专利加密算法和1个独一的种子。据介绍,RSA的加密算法需要2个函数:时间和令牌种子,运算后可得出6位数字密码。由于函数之一是时间,所以随着时间的改变,得出的6位数字也会随之而改变,从而确保了密码的唯一性。由于令牌的种子是唯一的,所以产生的6位数字密码也是独一无二的。同时,银行认证服务器也安装了令牌种子,所以在相同的时间点,认证服务器与令牌产生的数字相同,登录者得以认证。
要想使用编码器,用户必须到银行网点申请,银行通过全面审核客户资料,批准客户开通网上银行后,再将编码器邮寄给客户。梁建文说:美国银行(亚洲)是继汇丰银行之后,香港地区第二家推出编码器认证方式的银行。与汇丰银行不同的是,汇丰银行要求客户只要登录网上银行就必须输入用户名/密码和一次性Token密码,而美国银行(亚洲)通过对客户行为的分析,只在客户进行高风险操作时才要求输入一次性密码。这再次体现了美国银行(亚洲)以人为本的服务理念。
严格监管确保安全
香港作为国际金融中心,其金融监管体系为“全亚洲最为健全”,在网上银行监管方面,相关监管立法与规则相当完善和严密。梁建文认为,来自监管机构的指引和监督是提高网上银行安全性不可或缺的重要因素。
香港网上银行的监管机构是香港金融管理局。金管局在电子银行监管规则的制定与完善方面发挥着举足轻重的作用,为从事电子银行业务的机构提供了明确、清晰的业务操作指南,并专门针对电子银行的特殊监管问题制定和颁布了一系列新的政策与规则。
梁建文介绍说,金管局对网上银行采取了严格的监管措施,已经形成了1个严密的监管体系。金管局每年都会对境内所有的网上银行进行审查,其中包括1~2星期的现场审查。在现场审查之前,金管局会提前1~两个月下发银行自我评估问卷,要求其对网上银行的安全性进行自我评估并打分。评估问卷内容非常详尽,细化到每一项安全措施。同时,金管局每年下发网上银行指引,对网上银行业务特别是安全性、可靠性等进行规范和指导。2005年,金管局规定网上银行必须提供除用户名、密码外的第二种认证方式,目前全球只有3个国家和地区(香港、新加坡和德国)有这方面的强制要求。为了应对这一监管要求,2005年6月底香港所有网上银行都推出了第二种认证服务。
据梁建文介绍,第二种认证服务主要有3种模式:一是使用香港邮政局颁发的单位数字证书;二是采用银行发行的一次性口令令牌;三是通过手机收取银行发送的一次性密码。
内地网上银行并不逊色
2006年8月24日,中国建设银行在香港与美国银行签署协定,收购美国银行在香港的全资子公司美国银行(亚洲)股份有限公司100%的股权。在谈及此次并购对美国银行(亚洲)网上银行未来发展的影响时,梁建文表示,美国银行(亚洲)在香港的业务、服务和产品将不会受到任何影响,网上银行也将按照目前模式运行下去。建设银行在香港的业务完全集中在企业银行方面,其零售银行、商业银行的业务将转到美国银行(亚洲)平台上,双方的分工非常明确。
与内地网上银行相比,梁建文认为美国银行(亚洲)并不具备明显优势。他说:“内地网上银行的服务范围广泛,功能也很完备。如果说有什么不同,就是一些美国银行(亚洲)能够提供的网上银行的投资交易,内地的网上银行还看不到,但是这主要是银行业务上的差异造成的。在安全方面,目前,网上银行系统都非常先进,采用了的严格安全措施和防范手段,技术上差别不大;认证方式上,内地网上银行大部分采用数字证书的认证方式,香港地区认证手段更为丰富。页面设计上,大部分内地网上银行网站相对简单、实用,图像不是很多,这应该是考虑了内地一些用户的网络带宽的条件,为了避免影响传输速度而特意设计的。
********************************
三 : 中国银行动态口令和动态密码使用图文教程
什么是动态漫迷和动态口令卡,如何操作和使用动态密码口令卡;中国银行动态口令卡、是中行专门为客户提供的一个安全工具,当客户在进行网上资金交易时保障资金安全的安全交易工具之一、当我们在转账付款时必须要输入手机验证码和动态密码才能完成资金交易,这就给我们提供了多一层安全防护;那么具体怎么操作呢?下面小编就为大家带来中国银行动态口令和动态密码使用图文教程,一起来看看吧!
方法/步骤
1、我们在银行开户开通网银支付的功能时银行会给我们一个,动态口令卡也称为(中银E令卡)他个种内置有电源和密码生成的芯片和显示屏、是根据独特的算法,在每隔一定的时间口令卡将会自动更新动态口令的密码号数。只要密码在使用过一次后就将会失效了,下一次再使用时就会是新的一个密码。这个口令卡有几个好处就是方便,不用安装驱动,我们只要在转账付款时根据当时网上银行提供的提示,输入动态口令当前显示的动态密码就可以完成交易;
2、下面小编举个例子,在网银操作时的步骤;
【1】在进行网上银行转账时,我们把收款人的姓名、转入银行卡账号、所属银行、金额、等。都填写完成之后,在选择安全交易工具时,如果你设定的是动态密码+手机交易码作为交易工具,那么、则同时需要用到这两个工具;
3、【1】在转账信息确认无误后我们点击获取手机验证码,此时银行系统会发一条短信验证码到你的手机,打开手机信息查看输入到交易码框框里;
【2】同时看你手上的口令卡当前屏幕显示的6位数字;把他输入网银面页的动态口令框框;即可;
【需要注意的是】;每次密码只是显示60秒时间,所以要把握好每一次的变换,因为有可能是手机短信会慢一点来,就会导致动态密码和手机交易吗不能同一时间输入;还有就是动态密码不能胜任错误5次。超过5次错误当天将会锁定,直到第过了当天的24:00点才会恢复正常有效密码;
注意事项
动态密码不能输入错误超过5次,否则或被锁定
要把握好手机交易吗和动态密码的时间
以上就是中国银行动态口令和动态密码使用图文教程,希望对大家有所帮助,谢谢阅读!
四 : 原始人新动态:退款已受理 退机仍在协商中
中国站长站61k.com讯:原始人一案自7月15日起受理退款退机事宜,不过官方网站并没有透露太多细节,上午,中国站长站通过QQ向原始人客服询问了相关进度。
在处理退款退机的问题上,站长站编辑提出了相关的问题,例如目前有多少赔偿资金到位;有多少站长选择了退款退机;是否将有新的资金流入;继续托管的用户占全部用户的多少;对于电信等通信商的拖欠费用如何处理等等。
原始人客服回应,网络情况畅通无阻,广大客户选择了继续支持原始人的发展,关于处理方案,请各位站长仍然关注http://www.yesren.com/Program.asp。在新资金流入的问题上,原始人客服表示他们正在对投资方进行筛选,会选择其中实力较强的投资方,以便今后能取得更好的发展。
而就在中午12时,原始人处理相关事宜的QQ群中发布了一则公告,公告称原始人积极争取退机,但因方式不当,遭当地派出所以盗窃罪为名拘捕,公告如下:
以下为引用的内容: 公告: 尊敬的原始人用户,我司一直以后积极执行退款退服务器方案,为了尽最大努力满足客户的需求,我司技术总监和机房主管在昨晚帮部分用户取服务器出机房的过程中,因取回方式不当,被视作盗窃行为送到了派出所,对此我司深感痛心。 今日上午经过与政府领导的协商,确定下午由政府市长牵头召开协调会,制定服务器出机房相关流程。 此时此刻,原始人网络迫切需要得到广大用户的理解和支持,我们会不惜一切代价保证广大用户的合法权益。 |
就此事,中国站长站编辑拨打了原始人400电话咨询,电话客服只请编辑自己看公告,而后挂断电话。
本站将持续关注原始人退款退机赔偿方案,欢迎广大站长朋友有相关消息一并提供。
五 : 求中国银行的动态口令牌(E-TOKEN)是什么原理??
61阅读/ www.61k.net
其实腾讯有一个手机令牌跟中国银行的这个令牌原理类似。
。www.61k.com。http://aq.qq.com/cn/manage/token/my_token
什么是动态口令牌?
答:动态口令牌是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。基于该动态密码技术的系统又称一次一密(OTP)系统,即用户的身份验证密码是变化的,密码在使用过一次后就失效,下次登录时的密码是完全不同的新密码。作为一种重要的双因素认证工具,动态口令牌被广泛地运用于安全认证领域。动态口令牌可以大大提升网上银行的登录和交易安全。
动态口令牌有哪些优点?
答:动态口令牌的优点集中体现在不仅非常安全,而且使用非常方便。动态口令又称一次性密码,每60秒随机更新一次,其优点在于一个口令在认证过程中只使用一次,下次认证时则更换使用另一个口令,使得不法分子难以仿冒合法用户的身份,用户也不需要去记忆密码。动态口令牌的使用十分简单,无需安装驱动,用户只要根据网上银行系统的提示,输入动态口令牌当前显示的动态口令即可。
动态口令的更新频率是多少,密码有多少位?
答:动态口令每60秒随机更新一次,长度为6位。
动态口令牌的有效期有多长?
答:动态口令牌的有效使用时间为出厂后三年(失效日期标示于动态口令牌背面)。超过有效使用时间后,动态口令牌将自动失效。
我的动态口令牌为什么被锁住了,我该如何处理?
答:使用动态口令进行登录或交易验证时,如果动态口令连续输错10次(单日或多日累计),系统将自动锁定该动态口令牌,您需要携带本人有效身份证件和一张关联了新版网上银行的银行卡或存折到柜台办理解锁。
token一般还有固定的PIN,是4到8位的数字/字母,别人拿到你的token而不知道你的PIN也是没用的.
这个是现在最安全的网银方式之一,欧洲很多银行网银都是这么做的。
**************************************
关于中行动态口令牌原理
问题补充:E-TOKEN该装置拥有内置芯片和一个可以显示多达6位数字的LCD窗口,但其体积很小,可以系在钥匙环上。我们在柜台发售这种装置时,与网银用户绑定建立一对一对应关系,使用唯一的128位种子将其初始化;其内部芯片每分钟都会使用一种算法,组合该种子与当前时间,生成一个随机的数字。而在我行网银认证服务器则采取和这个动态密码器同一种算法产生该随机数字,保证动态密码器和我行网银服务器的单一认证,就像每个客户都有了世界上独一无二的身份认证,保证客户使用网银的安全性。
对于失去时间同步的令牌,目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步,确保其能够继续使用,降低对应用的影响,但对于超出默认(共20分钟)的时间同步令牌,将无法继续使用或进行远程同步,必须返厂或送回服务器端另行处理。
***************************
中国银行去办卡并开通网上银行~没想到中国银行的网上银行升级了,还发了个“动态口令牌”每分钟变换一组6位数的数字。网上银行上的关键操作都需要输入这个口令牌上的数字~
当时一时脑子发热很兴奋的想着,这中国银行的服务器得多强悍啊~这么多用户都无线连接到服务器....想到这里,瞬间就醒了~还真把中国银行当中国移动使啊~
其实无非就是服务器端和这个“动态口令牌”都使用同样的一套算法,可以自定义计算数组的时间间隔,每批次“动态口令牌”都拥有唯一的序列号,然后服务器端和“动态口令牌”执行相同的计算程序,在设定好的相同的更新时间计算出新的数组...
事实上~服务器跟跟这个E-Token的动态口令牌米有直接联系,也8可能直接联系~就是根据唯一的序列号,利用公式,你算你的,我算我的。但可以保证算出的数字都是一样滴而且在同一时间更新~
想出这种动态口令方式滴家伙还真是脑子灵光得紧哈~赞一记~这样就方便多了。不用手机短信,不用插拔U-KEY……大大简单了操作流程但也保证了安全性~
就这个E-Token动态口令牌,在方便了我使用网上银行的同时也让我对中行印象有了少许改观~期望他们百尺竿头更进一步,更人性化些,能更多点为用户考虑...
*************************************************8
我支持设置转账限额,但我认为应该在柜台设置,不是因为我不相信TOKEN的安全性,而是因为推广时多一个卖点,或者说给客户多一个选择,但亦有部分同事认为这样做增加客户办理手续,持反对意见,实际推广中,我们收到更多的声音是客户经理反馈客户觉得我们的限额设置太低。。。
我相信总行亦同时收到正、反,甚至多方面的意见,正在研讨。
我觉得,如果客户不认同TOKEN的安全性,那么,验证2次TOKEN口令(登录一次,转账交易一次)和验证10次TOKEN口令有什么分别呢。
另外,什么时候个人也可以选择CA登陆?如果可以将改成CA登陆,从中行的交易额度限制看,USBKEY要比ETOKEN安全多
--------实际上,据我所知,CA和TOKEN在企业网银限额不同,不是因为两者的安全性有高低,而是因为另有原因,不便说明。
***********************
七种武器确保中行网银安全 古龙先生笔下有“七种武器”,象征正义战胜邪恶的力量。武侠世界中它们的主人携之叱咤江湖,御敌防身。中行有关负责人表示,中行也为客户提供了“七种武器”,保护中行网银的安全,任客户在多姿多彩的网上银行天地中享受轻松安全的现代生活:
一、多情环:用户名+密码
多情环本名双银环,总是成对出现,这双环无论套住了什么,立刻就紧紧缠住,绝不会再脱手。
中行网银提供用户名(6-20位数字和英文字母)和密码(8-20位数字和英文字母)的基础性防护,构成网上银行的第一道防线。
二、长生剑:动态口令牌
剑乃兵中君子,孰意百炼钢,化做绕指柔。剑性属柔,柔中有刚。轻快敏捷如脱兔、洒脱飘逸似处子。剑法最为变幻莫测,攻守兼备,是古人雅爱的佩饰之物。
中行网银的动态口令牌(E-Token),提供一次性密码验证,每60秒随机更新一次,正如剑法的变化莫测,一个口令在认证过程中只使用一次,下次认证时则更换使用另一个口令,使得不法分子难以仿冒合法用户的身份。动态口令与“用户名+密码”的双因素认证,保证了用户身份的合法性和唯一性,有效地保障了客户的网银安全。
三、碧玉刀:安全控件
刀乃百兵之胆,碧玉刀晶莹翠绿,刀光柔和而杀气不减,碧光闪过斩断一切仇敌。一刀两断,象征其简练、干脆。
中行网银提供的安全控件可以切断键盘操作与木马病毒之间的通道,防范恶意程序的攻击,斩断可能的密码泄露渠道,更好地保护网上银行用户的信息安全。
四、孔雀翎:中银e信
孔雀翎,世之宝兵,尊为暗器之首,至华丽,出则杀敌于无形。暗器往往制敌于无声无息之中,对方还未发现时,已然被暗器取了性命。
中国银行向网银客户提供短信提醒服务——“中银e信”。客户可根据需要定制一系列提示信息,如网银登录提醒、网银密码连续输错提醒、转账汇款提醒、预约指令结果通知等,以随时了解网银变动情况。当有不法分子登录客户的网银进行操作时,中银e信帮客户及时发现,使客户能悄然出招制其于无形之中。
五、离别钩:预留信息
离别钩似剑而曲,似刀非刀,寒光闪处,离别钩至。离别钩,当然是一种武器,它的用途却与一般的武器大为不同,离别是为了相聚。
预留信息是提高客户对假网站辨别能力的一种简单有效的方法。设置好“欢迎信息”后,在每次登录时,该信息将显示在欢迎页面上,如该网站未能正确显示客户预留的欢迎信息,说明该网站不是中行网站。客户能借预留信息辨别网站真假,及时退出虚假网站。
六、霸王枪:安全组合服务
枪为百兵之祖,更是长兵器之王。枪长而锋利,使用灵便,取胜之法,精微独到。枪法组合精妙,招招配合,御敌于近身之外。
中行网银提供交易限额控制、登录超时设置、密码保护、登入记录及安全退出按钮等组合服务,多项措施降低风险,有效地提高客户的网银安全。
七、拳头:中行网银专属服务热线
拳头是最直接、最有效、最可靠的武器,但又可以说不能称其为一种武器。古龙先生将拳头与其他六种武器放在一起,强调的是小说中主人公与朋友的情谊,他对朋友真诚,朋友也对他真诚,他愿为朋友去死,朋友也愿为他去死。
中行网银专属服务热线40068-95566,为客户提供热情服务和专业解答。客户可以通过该热线办理网银挂失、注销等业务。当客户在一段时期内暂不使用网上银行,又不想注销时,即可通过客户热线申请办理挂失暂停服务,避免期间被不法分子登录,提高客户的网银安全。
听完中行人对网银安全形象生动的全面解读,记者充分感受到中行对网银安全研究之深,解决之透,也明白了安全性为什么成了中行网银的重要卖点
*********************************
中行网银:将安全放在首位
张小姐开通了中国银行网上银行,方便快捷的操作使她理财省时省心,但她在转账或缴费时往往心存顾虑,希望了解在网上操作时如何使她的资金安全得到最大限度保护。
保障您的资金安全是中国银行首要考虑的问题。中国银行网上银行采用了多重防护措施,形成了相对完善的安全机制,以解除您的后顾之忧。当然,增强安全意识,正确操作网上银行也是您需要关注的问题。
中国银行为您提供了什么样的防护措施?
三道防线保证网上银行用户的资金和信息安全
中国银行网上银行登录采用双因素认证(第一因素:“用户名+密码”,第二因素:动态口令),重要交易通过动态口令进行再次身份验证,从而构成保护网上银行的三道防线,有效地保证了用户身份的合法性和唯一性。
第一道防线:由网上银行用户名(6—20位数字和英文字母)和密码(8—20位数字和英文字母)组成的基础性防护。
第二道防线:动态口令牌随机生成的动态口令(6位数字)。动态口令牌(E-Token)是一种内置电源、密码生成芯片和显示屏,根据专门的算法每隔一定时间自动更新动态口令的专用硬件。动态口令牌的使用十分简单,无需安装驱动,用户只要根据网上银行系统的提示,输入动态口令牌当前显示的动态口令即可。
动态口令又称一次性密码,每60秒随机更新一次,其优点在于一个口令在认证过程中只使用一次,下次认证时则更换使用另一个口令,使得不法分子难以仿冒合法用户的身份,用户也不需要去记忆密码。
第三道防线:用户使用网上银行进行他人转账,投资服务的开通,基金、国债业务的开户,代缴费,用户名/密码找回等重要事宜时,需再次输入动态口令进行身份验证。
众多安全措施构成全方位防护网
1.安全控件防范恶意程序。
安全控件主要用于防范恶意程序的攻击,如木马程序等,它是通过切断键盘操作与木马病毒之间的通道,来更好地保护网上银行用户的信息安全。
2.图形验证码防范黑客攻击。
针对一些黑客利用不断试算网上银行登录密码的手段试图“猜”中用户密码的情况,中国银行在网上银行登录页面、重要交易页面采用图形验证码,以防范黑客攻击。图形验证码通过只能由肉眼识别的异形图文对登录进行再次验证,最大限度地防止非法程序读取信息。
3.其他安全措施。
预留“欢迎信息”辨别假网站:
您预留的“欢迎信息”是提高您对假网站辨别能力的一种简单有效的方法。您设置好“欢迎信息”后,在每次进入中行网站时,该信息将显示在欢迎页面上,如该网站未能正确显示您预留的“欢迎信息”,说明该网站不是中行网站。
登入记录监控异常情况:
您进入中行网站后,网上银行欢迎页面将显示上次“登入记录”,便于您核对实际登录情况,如发现异常可及时采取措施。
登录保护防范恶意攻击:
为避免他人恶意试取您的登录信息,同一用户一天登录验证连续5次无效,网银即暂冻结该客户登录,次日零时自动解冻;同一用户多日连续登录验证无效累计15次,即锁定该客户登录,需要客户持有效身份证件到银行柜台解锁。
控制交易限额降低风险:
您可自行在网上银行中设置转账汇款等交易的每日最高金额,有效控制风险。
专用按钮保证安全退出:
网上银行页面右上角设有“退出”按钮,每次使用网上银行后点击“退出”按钮,再关闭浏览器结束使用,保证安全退出系统。
柜台关联账户确保身份真实:
严格确认客户身份,保证客户身份及关联账户的真实性。
您在操作网上银行时要注意什么?
尽管中行为网上银行建立了相对完备的安全机制,保障了银行交易系统的安全,但您也需要增强安全意识,养成良好的网上银行使用习惯,只有如此,才能充分保证您的资金和信息安全。
登陆正确网址
请在浏览器地址栏内直接输入中行网址:www.boc.cn,从该网址登录中行网上银行,以避免虚假链接,谨防假冒网站。
妥善保管动态口令牌
请妥善保管动态口令牌,一旦丢失,您将无法使用中行网上银行,还可能影响您的网上银行安全。如不慎丢失,您可拨打中行营业网点电话办理口头挂失,也可立即到中行营业网点办理挂失或注销手续。
妥善保护账号、密码等个人重要信息
1.在任何情况下,坚持账号和密码自己保管,不透露给任何人的原则。不要相信任何通过电子邮件、短信、电话等方式索要账号和密码的行为。若有任何怀疑,请立即致电40068—95566。如您不慎向不明人员或网站提供了网上银行密码,应立即登录网上银行或到银行网点重置用户密码;
2.不要使用电话号码、车牌号、身份证号、出生日期等容易被别人猜到和窃取的信息作为密码,密码应是8位以上数字母的组合,并尽量避免规律组合,以增强保密程度;
3.要为自己的网上银行设置专门的用户名和密码,以区别于您平时在其他网站使用的各类密码,避免因某项密码的丢失而造成网上银行密码的泄漏;
4.不要在网吧、图书馆等公共场所使用网上银行,以防他人窃取账号和密码。
相关链接
巧用网上银行增值服务:
1.请在初次使用网上银行时按照提示下载并安装中国银行网上银行的安全控件;
2.在网上银行服务设定中设置“欢迎信息”,以有效识别真假网站;
3.根据您的需求在网上银行个人设定中设定每日转账、缴费、投资交易限额;
4.每次使用网上银行后及时点击“退出”按钮,安全退出。
如何保证您的计算机安全:
1.定期下载安装最新的操作系统和浏览器安全程序或补丁;
2.安装个人防火墙,防止黑客入侵您的计算机;
3.安装并及时更新杀毒软件,防止计算机病毒入侵;
4.不要轻易下载或点击一些来历不明的软件或邮件。
*****************************************
当中行的网银用户达到100万后,在同意时刻会至少有两个人的密码是一样的吧?因为E-Token只有6位数,要是改成8位数就安全多了,现在瑞典的也用这个东西和USBKEY
就算中行网银达到100万,
登录网银包括用户名、口令和E-TOKEN密码,
具体交易又需E-TOKEN密码,
同时登录,输入口令,又同时输入密码的概率,微乎其微吧!
当然我觉得KEY还是应该及早推出,毕竟E-TOKEN的交易金额限制太小!
这个问题曾经咨询过,回复由于有部分小银行及外资行没有参加人行的全国小额支付系统,需要进一步梳理。 虽然2.0上线一周,但我们的工作并没有因为2.0的上线而有所放松,新功能的调试、收费政策的研究制定、业务规则的整理、柜员们的培训、基层和客户的疑问解答、网银的营销计划和活动安排都迫在眉梢,一丝不敢松懈。请多多理解。
*******************************
个人认为,CA数字证书应该与E-TOKEN结合起来。不使用CA证书的,交易限额就按现在的标准,如果使用CA证书和E-TOKEN就可以加大交易限额。
*****************************************
近年来,不断出现的网上银行安全事件引发了一连串关于“网上银行到底安全还是不安全”的争论和探讨。其结论大体是,银行认为网上银行从技术上讲是非常安全的,出现问题的原因主要是用户的安全意识淡薄和防范措施不够;而消费者则认为银行应该对安全事件负主要责任,网上银行应该既能防范黑客入侵又能防止账户被盗。其实,银行已经建立了比较完善的诸如数字证书等安全认证手段,用户只要严格按照相关规定进行操作,安全问题就基本可以避免。但如此简单的道理和方法,为何个人素质普遍较高的网上银行用户却不知道、不理解或不愿使用呢?尽管安全的网上银行需要银行和客户携手打造,但是银行作为网上银行的发起者和推动者,在保证网银安全方面无疑起着主导作用。对银行来说,网银安全决不仅仅是技术层面的问题。技术之外,银行还有很多功课要做。
日前,本刊记者采访了美国银行(亚洲)CIO梁建文和信息技术部副总裁赵文昌,美国银行(亚洲)在保障网上银行安全方面的一些做法也许能够给国内银行一些启示。
网银服务体现客户关怀
美国银行(亚洲)成立于1912年,为香港最高评级的银行之一,在香港和澳门设有17家分行,提供多元化的个人及商业银行服务。据赵文昌介绍,美国银行(亚洲)于1999年开始提供网上银行服务,最初只开展了一般性银行业务,2001年开始发展一些与投资有关的服务,比如股票、基金买卖等。2002~2005年,将工作重点放在网上银行安全建设方面。
美国银行(亚洲)网上银行的特色表现为简单、易用、专业,从页面设计到所提供的服务都体现了以人为本的理念。登录美国银行(亚洲)网站,就可看到如下声明:本行保障网上银行服务客户不会蒙受任何因第三者欺诈所导致之损失。若客户方面并无严重疏忽或欺诈,并于90日内向银行举报未受权之交易,您将无须承担任何未经受权而经其网上银行账户现金支出的损失。
美国银行(亚洲)之所以敢于承担责任,因为其采取了许多安全措施。首先,网上银行必须使用双重认证才能完成转账业务,而使用简单的用户名/密码方式只能查询账户余额。其次,银行为网上银行用户免费提供手机短信或E-mail提醒服务,用户通过网上银行从事电子商务活动,当银行账户发生变动时,可在第一时间获得通知,用户可以自己订制通知服务的形式及确定通知金额。赵文昌说:“美国银行(亚洲)充分利用提醒服务与客户保持联系,提醒服务不仅包括定期存款到期通知,汇款到账通知,账户余额不足通知,股票、基金价格提醒,网上招股通知,甚至客户的生日、纪念日提醒,只要客户提出要求,银行都可以提供。”
除技术手段外,用户教育也是美国银行(亚洲)网上银行安全策略的重要组成部分。梁建文指出,用户的安全防范意识是保证网上银行交易安全的前提。针对目前比较普遍的通过假冒银行网站骗取用户输入用户名和密码,盗取用户金融资产的网络钓鱼事件,美国银行(亚洲)现阶段用户教育的主要内容是指导用户区分真假网站。”
梁建文告诉记者,美国银行(亚洲)网上银行的定位是传统银行服务渠道的补充。“我们并没有考虑通过网上银行挣大钱。主要是为了提供更为方便、便捷的服务。有些服务是收费的,比如股票、基金的买卖,这些服务的收费比网点相对便宜一些,因为是自助操作,而网上查询、缴费都是免费的。提供网上银行服务是希望减轻网点工作量,让网点可以更好地从事产品营销工作。”
兼顾安全与便捷
网上银行的安全性和方便性就如鱼和熊掌,不可兼得。目前,香港银行普遍采用的认证方式是香港邮政局配合智能身份证颁发给香港市民的单位数字证书(e-Cert),单位数字证书与国内网上银行使用的数字证书类似,只不过国内银行发行的数字证书各自独立,不能通用,比如使用工行发放的数字证书无法登录招行的网上银行。而香港市民只要拥有一个单位数字证书就可以使用各家银行的网上银行服务。
即便如此,e-Cert还是在方便性上遭到了质疑。由于数字证书存放在智能卡中,只有在安装了智能卡读卡器的计算机上才能使用,同时,使用数字证书还须将其拷入硬盘并安装驱动程序等,繁琐的步骤常令用户望而却步。
梁建文认为,银行需要在安全性和方便性之间找到平衡点,在确保用户资金安全的前提下,考虑网上银行的易用性和可靠性,尽可能提供方便、快捷的银行服务。为此,2006年7月底,美国银行(亚洲)推出了网上银行安全认证令牌(Token),作为网上银行双重认证服务的第二种选择。
安全认证令牌是一个编码器,用户在网上银行进行高额金融交易时,输入安全认证令牌显示的一次性口令(OTP,One Time Password),即可获得与使用数字证书同样的安全保障。
梁建文说:“美国银行(亚洲)此次采用的RSA Security令牌认证技术,每分钟能产生和显示不同的编码,用户无需安装任何硬件和软件,就可以使用。与数码证书相比,令牌认证方式不但能提高网上银行的安全性,降低欺诈风险和身份识别的成本,而且可以简化安全认证的步骤,提高用户使用网上银行服务的积极性。长远来看,有利于降低银行的交易成本。”
美国银行(亚洲)所采用的RSA Secure ID令牌由6个部分组成:处理器、电池、时钟、LED显示屏、RSA 的专利加密算法和一个独一的种子。据介绍,RSA的加密算法需要两个函数:时间和令牌种子,运算后可得出6位数字密码。由于函数之一是时间,所以随着时间的改变,得出的6位数字也会随之而改变,从而确保了密码的唯一性。由于令牌的种子是唯一的,所以产生的6位数字密码也是独一无二的。同时,银行认证服务器也安装了令牌种子,所以在相同的时间点,认证服务器与令牌产生的数字相同,登录者得以认证。
要想使用编码器,用户必须到银行网点申请,银行通过全面审核客户资料,批准客户开通网上银行后,再将编码器邮寄给客户。梁建文说:美国银行(亚洲)是继汇丰银行之后,香港地区第二家推出编码器认证方式的银行。与汇丰银行不同的是,汇丰银行要求客户只要登录网上银行就必须输入用户名/密码和一次性Token密码,而美国银行(亚洲)通过对客户行为的分析,只在客户进行高风险操作时才要求输入一次性密码。这再次体现了美国银行(亚洲)以人为本的服务理念。
严格监管确保安全
香港作为国际金融中心,其金融监管体系为“全亚洲最为健全”,在网上银行监管方面,相关监管立法与规则相当完善和严密。梁建文认为,来自监管机构的指引和监督是提高网上银行安全性不可或缺的重要因素。
香港网上银行的监管机构是香港金融管理局。金管局在电子银行监管规则的制定与完善方面发挥着举足轻重的作用,为从事电子银行业务的机构提供了明确、清晰的业务操作指南,并专门针对电子银行的特殊监管问题制定和颁布了一系列新的政策与规则。
梁建文介绍说,金管局对网上银行采取了严格的监管措施,已经形成了一个严密的监管体系。金管局每年都会对境内所有的网上银行进行审查,其中包括1~2星期的现场审查。在现场审查之前,金管局会提前1~2个月下发银行自我评估问卷,要求其对网上银行的安全性进行自我评估并打分。评估问卷内容非常详尽,细化到每一项安全措施。同时,金管局每年下发网上银行指引,对网上银行业务特别是安全性、可靠性等进行规范和指导。2005年,金管局规定网上银行必须提供除用户名、密码外的第二种认证方式,目前全球只有三个国家和地区(香港、新加坡和德国)有这方面的强制要求。为了应对这一监管要求,2005年6月底香港所有网上银行都推出了第二种认证服务。
据梁建文介绍,第二种认证服务主要有三种模式:一是使用香港邮政局颁发的单位数字证书;二是采用银行发行的一次性口令令牌;三是通过手机收取银行发送的一次性密码。
内地网上银行并不逊色
2006年8月24日,中国建设银行在香港与美国银行签署协定,收购美国银行在香港的全资子公司美国银行(亚洲)股份有限公司100%的股权。在谈及此次并购对美国银行(亚洲)网上银行未来发展的影响时,梁建文表示,美国银行(亚洲)在香港的业务、服务和产品将不会受到任何影响,网上银行也将按照目前模式运行下去。建设银行在香港的业务完全集中在企业银行方面,其零售银行、商业银行的业务将转到美国银行(亚洲)平台上,双方的分工非常明确。
与内地网上银行相比,梁建文认为美国银行(亚洲)并不具备明显优势。他说:“内地网上银行的服务范围广泛,功能也很完备。如果说有什么不同,就是一些美国银行(亚洲)能够提供的网上银行的投资交易,内地的网上银行还看不到,但是这主要是银行业务上的差异造成的。在安全方面,目前,网上银行系统都非常先进,采用了的严格安全措施和防范手段,技术上差别不大;认证方式上,内地网上银行大部分采用数字证书的认证方式,香港地区认证手段更为丰富。页面设计上,大部分内地网上银行网站相对简单、实用,图像不是很多,这应该是考虑了内地一些用户的网络带宽的条件,为了避免影响传输速度而特意设计的。
********************************
本文标题:中国银行动态口令原理-12详解中国银行的动态口令牌E-token61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1