守住你的錢

互聯網的高速發展，推動甚至改變了一些行業的經營模式，銀行就是其中一個非常典型的范例。隨著電商的發展，網銀在人們日常生活中的應用頻次也越來越高，在某些交易行為上甚至超越了實體銀行柜臺的使用頻率。中國銀行業監督管理委員會2006年3月1日施行的《電子銀行業務管理辦法》將電子銀行業務定義為：商業銀行等銀行業金融機構利用面向社會公眾開放的通訊通道或開放型公眾網絡，以及銀行為特定自助服務設施或客戶建立的專用網絡，向客戶提供的銀行服務。隨著電子銀行的逐步發展，也有不少犯罪分子把目光鎖定在了網銀上，給用戶造成了不小的損失。

在這樣的背景下，銀行方面也推出了不少安全措施幫助用戶捍衛財產安全。在選擇這些安全措施時，用戶往往只單方面聽從銀行柜員的介紹，自己對各種“Key”并沒有太多的概念及理解。面對銀行針對個人和企業用戶提供的各種硬件安全產品，以及在使用網銀時的各種軟件安全產品，用戶應該如何選擇？哪些產品最適合自己？哪種安全解決方案最方便易用？下面CHIP就將針對市面上種類繁多的“Key”，為大家進行詳細的介紹，以幫助用戶更好地選擇最適合自己的安全措施。

“密保卡”時代

相信不少人聽到“密保卡”的時候，并不能很快地將它和網銀聯系在一起。恐怕多數人對密保卡的認知，其實來自于網絡游戲密保卡或是QQ密保卡。“密保卡”也叫“動態口令卡”，動態口令是根據特定算法生成不可預測的隨機數字組合，每個口令只能使用一次。網銀所采用的密保卡和網游及QQ所用的基本相同，這種卡片背后通常是80組數字數字串，由8行數字和10列英文字母對應組成，每張卡具有唯一的序列號，和用戶的銀行賬戶綁定。用戶在使用網銀時，登錄用戶名密碼后會出現類似“A7、E4、I3”的提示，用戶根據自己所持卡片將所對應的數字填入即可驗證賬戶安全。

動態口令卡的優點在于方便靈活，讓用戶擺脫了記憶復雜密碼的流程，只需要按照提示填寫即可通過驗證。其缺點在于每個數字只能使用一次，所以一般卡片都會設置有效期，而需要定期更換的弊端也給使用者造成了不小的困擾。另外，與密保卡同期出現的還有一種文件證書產品，在硬件安全驗證設備發展還并不那么完善的時代，文件證書一度占據了主流地位，但是其最大的風險是私鑰裝載設備的被盜，一旦電腦出現問題就有可能危及到用戶銀行賬戶的財產安全。加之文件證書需要定時更新、多平臺使用時需要手動復制證書，所以這種方式也逐漸被淘汰。隨著更多更方便快捷的安全工具應運而生，動態口令卡和文件證書都逐漸退出了主流安全工具的舞臺。

“動態口令牌”和“USB Key”

繼動態口令卡之后，市場上又出現了動態口令牌（OTP，One time password）。動態口令牌其實是動態口令卡的硬件升級版，動態口令是根據特定算法生成不可預測的隨機數字組合，每60s隨機生成一個動態口令，每個口令只能使用一次。而動態口令牌則是用來生成動態口令的終端設備，也稱動態令牌，有硬件令牌和軟件令牌兩種形式。硬件令牌是一種全封閉的硬件設備，內置電池，每個硬件令牌也有單獨的序列號以便和用戶的賬號綁定，除此以外還標明該設備的有效期，以便在電池失效前更換新的硬件令牌。相比之前的動態口令卡，硬件令牌的安全系數更高，同時在很大程度上減少了頻繁換卡的繁瑣步驟，每隔60s更換一次的一次性數字串也提高了安全性，減少了用戶的風險。

硬件令牌一般包括3種形式：基于時間同步、基于事件同步及挑戰、應答方式，當前主流的硬件令牌都是基于時間同步的。目前包括中國銀行在內的多家銀行都輔助增加了“手機驗證碼+動態口令牌”的驗證服務，用戶只有輸入正確的短信驗證碼和動態數字串時才能進行網銀驗證，增加了網銀的安全性，也免去了網銀用戶名密碼及硬件令牌同時丟失所造成的安全隱患。另外，由于硬件動態令牌的封閉性，所以這種安全硬件被更多的企業用戶所選擇。作為對企業系統安全性的要求，企業更愿意選擇和搭載與企業系統沒有硬件接觸的動態口令牌，以確保企業系統的安全性。

另外一種軟件令牌又稱為手機令牌，形式和硬件令牌相同，只不過沒有實體的硬件設備，而是變為一款App供用戶安裝在手機上使用。這樣不僅更加方便隨身攜帶，也更加節約成本，并且比硬件令牌更加適應移動互聯網的發展。手機令牌在iOS、Android、Symbian和Windows Phone上都有相應的版本，減少了動態密碼運營和管理成本。

與動態口令牌不同，另一種安全設備是個人用戶更加慣用的“USB Key” （硬件數字證書載體）。它是一種USB接口的硬件設備，內置單片機或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數字證書，利用USB Key內置的公鑰算法實現對用戶身份的認證。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了用戶認證的安全性。雖然各家銀行推出的設備名稱并不相同（譬如工商銀行叫“U盾”、招商銀行叫“優Key”），但是其本質都是USB Key產品。由于USB Key即插即用的特點，使得這款產品受到了更多個人用戶的青睞。與動態口令牌相同，USB Key也有獨立的編號和用戶的帳戶綁定，至于內置數字證書服務期的限制，各家銀行會在到期前提示用戶進行證書更新及延長證書的服務期。由于這款設備可以和電腦連接，所以不需要內置電池，硬件本身也就不存在使用期限的限制，更能節約成本。USB Key需要安裝驅動軟件才能正常使用，而驅動軟件目前只能安裝在Windows系統下，蘋果OSX用戶最好不要選擇這種安全工具。與此同時，為了更好地適應各種平臺，各家銀行也在不斷地更新自己的安全工具。

第二代和第三代

為了更好適應不同的平臺載體，加之移動互聯網的飛速發展，用戶對于手機網銀的安全需求也在逐步增加，銀行方面也在不斷更新升級自己的安全工具供用戶選擇。就升級類型而言，可以分為硬件升級和軟件升級兩種，其中硬件升級就是前文所提到的動態令牌和USB Key兩方面。

由于動態口令牌本身完全封閉，并不會和使用載體產生硬件設備的交流，所以其本身就具有極好的跨平臺特性，在普通的PC、平板電腦和手機上都能靈活使用，所以更新幅度較小。但動態口令牌在靈活便攜之余，也有容易丟失的特性，會給用戶造成一定的安全隱患，于是工商銀行近期推出了“工銀電子密碼器”，這款產品外形更像迷你版本的計算器，設有常見的數字按鍵及“開關、確認和刪除”按鈕，試用之初需要對硬件設備進行激活并設置開機密碼，在輸入正確的密碼后才能查看隨機字符串，為動態口令牌增加了新的安全保障，也能免除一部分丟失后的安全隱患。

相較于動態口令牌產品，USB Key更新的幅度更大，產品線也更豐富。被稱為“USB Key二代”的產品增加了LCD顯示屏和確認取消按鈕，不僅能夠實現即插即用，而且還能在支付的同時，通過設備自帶的LCD屏幕顯示正在支付訂單的內容及價格信息，通過操作設備上的確認和取消按鍵來對訂單進行操作。這種可視化的設計無疑進一步增加了安全性，能夠更好地保護用戶財產安全。美中不足的是，用戶仍然需要安裝兼容Windows系統的驅動軟件才能使用這款設備，并不能更好地適應更多平臺。

于是乎，“USB Key三代”產品很快應運而生。多家銀行推出了配有3.5mm音頻輸出口的“聲波驗證”設備，不再通過USB進行加密信息傳輸，而是改為音頻傳輸。Windows用戶仍然可以像往常一樣通過電腦客戶端來使用這款USB Key，而蘋果OSX用戶在插入設備后可選擇直接通過音頻傳輸，省去了安裝驅動軟件的步驟，更加方便快捷。由于3.5mm端口是手機的“標配”，所以這款設備也能很好地適應手機移動支付等多種平臺，用戶在手機上安裝銀行提供的iOS和Android版本App，通過3.5mm端口插入設備即可登陸使用。

而之前提到的軟件升級，也是銀行為了適應多平臺移動支付而提供的升級服務。從軟件種類來看，可以分為系統安裝的驅動程序及瀏覽器安全控件兩種。

就電腦操作系統而言，大體分為微軟Windows和蘋果OSX用戶兩類，由于大部分產品的驅動程序都是基于Windows系統開發，所以很長一段時間以來，蘋果用戶在網銀支付上都存在不小的障礙。根據我國法律規定，網銀系統基于ActiveX認證標準建立，這就從根本上阻止了Mac OS/iOS、Android、Linux等“非主流”平臺獲得基于直插硬件的網銀安全認證能力，這也是目前只有Windows平臺能夠做到通過USB Key直插驗證的原因。由于目前銀行還不能支持在OSX上運行的網銀程序，所以建議蘋果用戶選擇動態口令牌的安全設備，或者選擇帶有3.5mm接口可進行聲波驗證的USB Key3代產品。隨著人們對移動辦公和生活的需求越來越高，除了電腦操作系統以外，手機網銀App也是銀行著重發展的一大方向。各家銀行也都推出了可運行在iOS和Android系統上的手機App，可以在手機上享受與電腦客戶端相同的網銀服務，硬件設備的跨平臺應用也可以無縫對接。

除了在電腦客戶端使用網銀之外，由電商購物網站付款頁面直接跳轉至網銀頁面，是目前更加常見的付款模式，但這也對瀏覽器和相應的安全控件兼容性提出了更高要求。同Windows系統的道理一樣，目前市面上的銀行瀏覽器安全控件都是基于IE開發而成，其他基于IE內核的瀏覽器也都能很好地兼容銀行安全控件。即使是像Chrome和Firefox這類非IE內核的瀏覽器，銀行也逐步推出了針對這些常用瀏覽器的安全控件。因此從使用網頁版網銀的安全控件上來看，目前已經基本不存在什么障礙，用戶能夠在各種平臺和瀏覽器之間隨意轉換使用，甚至還有銀行推出了網銀專用瀏覽器供用戶選擇，但是其本質仍然不變。需要注意的是，IE10的網銀控件兼容性不佳，用戶在使用時需要注意甄別瀏覽器，并且及時更新瀏覽器版本。

未來的更多可能

目前銀行所提供的網銀安全設備多為免費，這些安全芯片的供應商多為捷德和上海互聯等固定幾家公司，銀行再根據不同的加密規則來選擇相應的安全芯片供應商。隨著超級網銀的出現，用戶使用網銀的頻率大大增加，也培養了用戶習慣，雖然目前設備的費用都由銀行負擔，但是從長遠發展來看，就像即將收費的超級網銀一樣，安全設備重回收費模式也是極有可能的。而隨著移動互聯網興起的手機銀行和移動支付，也刺激了新型硬件設備的產生。隨著蘋果iPhone配備了指紋掃描功能，USB Key也籌備推出指紋識別版本，驗證方式更加方便，安全程度也將更高。這些都是新興網銀平臺所帶來的變化。

除了以上提到的多重變化外，利用硬件進行識別也是安全認證的一項趨勢。相信不少用戶都已經體驗過QQ異地登陸驗證、支付寶登陸手機驗證碼等服務，這些都是通過硬件進行驗證的實例。從安全驗證的根本意義來看，任何形式的驗證都是向銀行系統證明用戶自身是帳戶和資金所屬者的過程，伴隨著信息科技的發展，安全驗證的形式也經歷了翻天覆地的變化。隨著芯片卡的普及，帶有NFC功能的銀行卡或許將成為未來驗證的新趨勢。但是從密碼學的角度來看，Key的安全等級較高，可靠性和平臺兼容性也比其他驗證方式更加出色，因此仍然會是未來一段時間的主流安全驗證方式。每種驗證方式都有自己的優缺點，適用于不同的場所和平臺，使用者要根據自己的實際需求，再結合使用環境對驗證方式進行選擇，才能達到最理想的安全保障效果。