從網絡安全角度剖析銀行卡的信息安全

智祥明 智少晨

（晉中職業技術學院 山西 030600）

0 引言

當今高速網絡和無線網絡技術發展迅速，3G、4G網絡帶給人們更快更寬更方便的網絡連接，信息的傳輸更為快捷。每個流動者著的人都在“保持連接”著，或用電話，或用短信，QQ或微信，網絡成為現代人離不開的交流平臺。利用網絡人們可以相互快捷的發送各種形式的文件，可以使用銀行卡相互間快捷的付款或轉賬，但銀行卡的信息的安全問題日益突出，樹立防范意識是解決問題的關鍵。雖然信息在傳輸過程中采取了強度很高的加密手段，在措施制度上也進行了規范和約束，但一旦出現問題，會給我們普通人帶來很大的麻煩和不必要的損失。

1 設置安全密碼，并且常變常新

無論是網站注冊，還是使用銀行卡等，都需要設置密碼，密碼成為我們生活中非常重要的一個信息，同時他也代表我們的身份。但密碼的安全無時無刻不讓我們擔憂，一是怕密碼泄漏，二是怕忘記密碼。因此設置較為安全的密碼是我們每天要思考的問題。

無論有線還是無線，傳送數據的安全方法就是加密。加密的方法很早就有。我國古代也早有用藏頭詩、藏尾詩、漏格詩及繪畫等形式的“密語”隱藏在詩文或畫卷中特定位置來表達的真正意思的記載，普通人只注意詩或畫的表面意境，而不去注意或很難發現隱藏其中的“話外之音”。比如：我畫藍江水悠悠，愛上晚亭楓葉愁。秋月溶溶照佛寺，香煙裊裊繞輕樓。這是明代唐伯虎的一首藏頭詩，意思是“我愛秋香”。這本身就是一種用加密的方法表達情感的例子。公元前51年初，羅馬共和國高盧行省長叫儒略.凱撒，他發明了一種密表，在密碼學上稱為“凱撒密表”。實際是一種相當簡單的加密變換，就是把明文中的每一個字母用它在字母表上位置后面的第三個字母代替。這種方法簡單實用，現在也可以用在我們的銀行卡等密碼的設置中。如黑客及一些不法分子很容易獲取我們的電話號碼及身份證號碼，而我們一般人喜歡用自己的這些相關信息作為密碼，因為這樣好記，可以減少因密碼忘記帶來的麻煩，但這樣又會帶來風險而失去了設置密碼的意義。因此，我們可以這樣做，如在我們的電話號碼上每一位都加上5或8。如出生年月為198003，每位加5取個位，就變成了643558，但完全沒有了出生年月的痕跡，而自己又很容易推出，這樣用來設置我們的密碼，好記又安全。這種方法能夠變化萬千。可以用加減乘除、指數對數三角函數、高等數學運算或邏輯運算等；還可以使用替代法，如1用23替代，2用89替代；再一種是順序置換，如按3157置換，將第三位變為第一位，第一位變為第二位；還可以用在網絡加密中使用的比較復雜柵欄矩陣加密技術等使得密碼更加難以猜測。

無論是哪一種加密算法，都是為了防止信息的泄漏，但有些算法現在己經不是很安全，而且不法分子可以從其它渠道獲取密碼和其他的信息。如有許多的網站屬于釣魚網站，專門通過注冊來收集人們的密碼，所以在網站注冊設置密碼時還要注意，使用的密碼一般不要用在銀行卡等密碼的設置中。

2 加密方法在網絡中的應用

網絡中傳輸數據時為了保證信息的安全，最重要的方法就是加密。我們使用的銀行卡密碼在網絡傳輸和認證時是非常重要的一個元素，它會和銀行卡信息一起產生不同的網絡密鑰，所以我們有必要了解一些網絡加密的手段。如今由快速電子計算機和現代數學方法為加密技術提供了較為安全的方法和手段，可以使信息更加安全，如MD5加密方法、sha、aes、對稱和非對稱加密體制、安全認證等都是為了保證我們的信息安全。

我們從最基本的 MD5加密了解一下加密的原理。在互聯網上下載文件時，我們看到有的下載提供 MD5校驗碼。MD5是報文摘要算法，大家都知道，任何人都有自己獨一無二的指紋，與之類似，MD5就可以為任何文件（不管其大小、格式、數量）產生一個同樣獨一無二的“數字指紋”，無論什么原因對文件做了任何改動，其MD5值也就是對應的“數字指紋”都會發生變化。MD5的加密過程是這樣的：將數據報文加以填充和報文長度一起組合成為512的整數倍，每一個512位數據段和上一段運算出的 128位結果進行運算，最后得出一個 128位的MD5值。第一個512位的數據段和4個32位共128位的初始向量進行運算。初始向量為四個 32位的字，分別是A=0x67452301UL；B=0xEFCDAB89UL；C=0x98BADCFEUL；D=0x10325476UL。因為報文數據的每一位參加運算，所以只要有一位發生改變，最后的值就會不同，因此可以有效地對數據的傳輸結果進行驗證。md5的主要用途是對報文的完整性檢測和數據發送者的身份驗證。你可以將一個文件傳播給別人，文件在傳輸過程中一旦有任何內容發生修改，接收者對這個文件重新計算MD5時就會發現（兩個MD5值不相同）。如果再有一個第三方的認證機構，用MD5還可以防止文件作者的“抵賴”，這就是所謂的數字簽名應用。MD5的運算可以說是相當復雜的，每一個512位數據段在和前一段128結果進行運算時，會再分成4個128位進行四級共4*16次運算，應該講是相當安全了。MD5在網絡上應用相當的廣泛，常用于操作系統的登陸認證上，如Unix、各類 BSD系統登錄密碼、數字簽名等諸多方面，我們在網站注冊使用的密碼在網站數據庫中保存時一般都是用MD5來加密的。除MD5以外，還有一種是sha-1，和md5很相似，都叫Hash算法，只不過運算更加復雜。但目前這兩種算法都不是很安全，早在2004年我國山東大學的王小云教授就對包括MD5等加密算法進行了破譯，2005年2月，王小云教授又破解了另一國際密碼SHA－1。現在網上有許多MD5的破解工具，如果攻擊了數據庫，或網站管理員看到 MD5加密后的密文，就可以知道你的明文密碼。

3 銀行卡的安全機制

對于銀行卡密碼，由于種種原因，一般只采用6位純數字表示。但它在傳輸過程中不是單獨加密的，而是要和其他信息一起進行hash運算后再進行加密后傳輸。但需要注意的是，銀行密碼即使 hash 或者 salt（所謂加Salt，就是加點“佐料”。其基本想法是這樣的——當用戶首次提供密碼時，通常是注冊時，由系統自動往這個密碼里撒一些“佐料”，然后再散列。）過，其安全程度也不是很高。銀行卡上的任何信息的泄漏都會給我們的資金帶來安全方面的隱患。特別是在網絡消費和轉帳中，參與運算的除密碼外，主要還有銀行卡的帳號以及有效期和背面數字串中的最后3位數字，這些信息只要接觸到銀行卡的人都可以看到。雖然數據在傳輸過程中，要用hash算法對信息進行摘要并進行更加復雜的加密，如采用三重DES、AES、公開密鑰加密算法（RSA以及 Diffie-Hellman）等加密方法，但無論加密方法有多復雜，但根據Kerckhooff’s的原則，所有加密、解密的算法都是公開的，保密的只是密鑰，所以密鑰的安全性才是非常重要的，因此銀行卡上的每一個信息我們都要特別注意保護。當然銀行在數據傳輸時除通過算法的安全性來保密外，還要通過保密制度來提高安全性。

（1）銀行中只有極少數人能直接接觸到儲戶密碼（密文），而這些人的身份和操作全部會被記錄在案，就算離職，這些信息也不會被清除。

（2）涉及存儲及使用這些信息的電腦與網絡采取物理隔離，操作終端攝像頭全程監控，操作者不可能抄下來向外透露出去。

（3）攻擊銀行或者金融機構是屬于犯罪行為，所以公安會介入，刑罰上不封頂，最高死刑。

（4）銀行內部預留部分資金以避免一但被竊無法追回后賠償儲戶。

（5）在使用銀行卡消費時，如果輸入3次密碼都不對，銀行卡當天就會被鎖住，不能繼續消費，那么3次中能猜中一次的概率是1-（1-0.000001）3≈0.000003，就是百萬分之3。

（6）再一種保證銀行卡安全的方法就是采用手機短信或密鑰動態口令卡或者用U盾來保證安全。

即便如此，還是有不法分子可以得手。現在儲蓄卡、信用卡都可以在網上消費，pos機上消費以及在ATM機上進行轉帳，犯罪分子通過自制的刷卡設備可以盜取銀行卡信息，制出偽造卡，再通過攝像頭等手段盜取密碼，就可以盜刷銀行卡。所以我們在使用銀行卡消費時要特別加心，不要在不正當的場合使用銀行卡，刷卡不要讓銀行卡（包括信用卡）離開視線，更不要隨便借于別人或讓別人保管；再一個就是必須經常的更換密碼，才能保證卡的安全。

還有一個非常重要的設備是手機。現在銀行卡都綁定手機，但如果手機被別人拿上或遺失被別人撿到，特別是身邊的“有心人”，如果他知道你的銀行卡或身份證號碼，就可以通過電話修改銀行卡的密碼，如果取得銀行卡就可以進行消費。雖然最后公安機關可能會查實，但會給主人帶來很大的麻煩和不必要的損失。所以手機一定要隨身攜帶，不亂放，也不要隨意借人，一旦遺失，要立刻注銷手機帳號，并和相關銀行取得聯系，關閉卡的消費。

現在網上支付還有一種快捷支付的方法，這種支付方法不需要核對銀行卡持有者的密碼，這些網站和機構與銀行之間達成一種默契，會通過記錄持有者銀行帳號、身份證號以及卡的有效期、背后的3位數字來達到快捷支付的目的。雖然這種支付方式快捷方便，但因網站數據庫會記錄你的信息，而且可以達到支付的目的，實際上增加了銀行卡的安全風險。

4 通過無線設備使用銀行卡的安全防范

無線技術迅猛發展，人們采用手機或無線設備都可以進行消費或轉帳。但實際上無線網絡是最不安全的。在使用自己的無線Ap時一定要進行安全設置。

（1）不要使用WEP密鑰，因為WEP己經證實很不安全，而WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。采用了更加安全的加密機制。

（2）不要在公開場合的無線 Ap上使用銀行卡，因為這些Ap可能沒有加密，別人的無線設備很容易訪問到你的無線設備，從而威脅你的信息安全。

銀行卡的信息安全與每一人息息相關，所以我們必須加倍小心，從各個渠道堵住漏洞，才能使我們的生活更加美好。

[1]沈鑫剡，計算機網絡安全[M].清華大學出版社，2009.

[2]段鋼，加密與解密[M].電子工業出版社，2008.

[3]周靖，安全技術大系[M].電子工業出版社，2004.

[4]閣明俊，銀行卡使用常識[M].中國財政經濟出版社，2010.