笔者不知道任何金融机构正在使用这种方法。如果你知道这样做的银行，请告诉笔者。这将是一个逐步建立的过程。

　　TechRepublic成员Jkameleon和笔者关于如何可以解决这一问题有一次有趣的交谈。Jkameleon描述了一种装置，可以阻止Zeus和URLZone的攻击。令人惊讶的是，在现实中，笔者也能找到这样的设备。

　　IBM的ZTIC

　　IBM正在开发一种叫做值得信赖的信息频道区(ZTIC)的硬件设备。关于其工作原理，IBM是这样说明的：

　　“在启动ZTIC代理后，用户就可以打开一个网络浏览器通过ZTIC网站与银行建立连接。从这一时刻起，浏览器和服务器之间所有的数据传输都是通过ZTIC进行的;SSL会话受到ZTIC中的密钥保护，因此，计算机上恶意软件无法获取相应的信息。”

　　这非常重要，但对于防范Zeus和URLZone来说，还不是稳妥的。了解ZTIC是如何对每笔交易进行验证的是非常有帮助的：

　　“此外，包含目标帐户号码在内的重要交易信息，在浏览器和ZTIC之间进行传输的时间，将自动受到保护。关键信息在经过ZTIC时，需要得到用户的明确确认：只有在按下“确定”按钮后，TLS/SSL连接才会继续。如果计算机上的任何恶意软件企图在浏览器中插入不正确的交易数据的话，用户在这一时刻很容易发现。”

　　看起来ZTIC提供的就是官方交易验证。下面就是相关步骤的说明：

　　1、网络浏览器和ZTIC之间和交易信息和帐号相关的传输流量被发现。

　　2、ZTIC显示相关信息，要求用户确认。

　　3、用户选择同意以便进行数据传输。

　　ZTIC的优点和缺点

　　这种方法可以避免URLZone创建隐藏的交易。也可以防止Zeus的行动。所有信息都显示在单独的设备中，可以防止恶意软件通过屏幕捕捉和记录获取信息。　IBM已经在YouTube上放置了一段视频，来演示设备是如何进行工作的。在看完视频后，笔者发现了两个问题：

　　· 该设备没有使用带外(第2种)通信方法来验证交易。

　　· 由于每比交易都需要ZTIC进行认证，所以这种方法要求每家金融机构都配备该设备。

　　不过，不管怎么说，使用ZTIC都将大大提高网上银行的安全性。笔者还有更多的好消息告诉大家。这里将有另外一个新概念。

　　马斯康安全

　　笔者还发现了另一家致力于消除该问题的公司。为了了解更多的信息，笔者和马斯康安全的首席执行官沙拉姆·卡利文进行了几次交流。最初，笔者以为马斯康安全仅仅是ZTIC的软件版本而已。在于卡利文先生交流后，笔者发现了它们之间的区别，下面就是笔者对该技术的认识：

　　马斯康安全采用的是他们称之为非线性认证的技术。这是一项新概念，可以用来提高用户登陆的安全性，并为网上金融交易验证提供帮助。卡利文先生解释了线性和非线性认证的区别在于：

　　· 线性认证：就是用户通过门户网站直接进行身份验证。

　　· 非线性验证：就是用户和门户网站通过第三方认证和验证过程进行身份验证

　　笔者认为马斯康安全模式是结合OpenID技术和ZTIC的非常好的做法。

　　马斯康数字标识

　　该数字标识属于个性化软件，包含了一个序列号和网络IP地址。该网络IP地址可以直接与马斯康认证服务器进行连接。数字标识则用来验证用户身份以及确认交易。卡利文先生对整个工作过程进行了说明：

　　1、用户打开该网站并登录，这时认证服务器会进行重定向操作。

　　2、验证服务器会发出一个包含一次性序列号和网站登录用户名的Cookie(有效时间为2分钟)。

　　3、网站的名称将显示在数字标识的“签名”部分，如果是一次交易的话，交易量和交易对象将显示在签名部分。

　　4、数字标识将读取cookie的一次性序列号，通过哈希运算将计算机指纹(处理器序列号、硬盘序列号、MAC地址和计算机名)和它放在一起，采用SHA　256　(资金传输的话使用SHA　512)进行两次处理。

　　5、通过SSL会话将该信息直接返回认证服务器，而不是网络站点。

　　如果所有信息被证明是正确的话，认证服务器将通知网站，允许进行访问。如果是交易数据传输的话，认证服务器会向网站发送相关的所有交易信息。

　　马斯康模式的优点和缺点

　　不象ZTIC，更类似OpenID，在启用了马斯康安全功能后，数字标识可以用来对任何网站进行认证。包括网络钓鱼在内的各种攻击都可以被阻止。笔者特别喜欢的一点，就是阻止网络钓鱼攻击。马斯康的认证服务器将不允许任何资料被转交给官方以外的任何其他网站。

　　关于马斯康安全的数字标识，笔者也有一些顾虑：

　　· 类似ZTIC，马斯康数字标识也没有使用带外(第2种)通信方法来验证交易。

　　· 马斯康模式完全依赖于一个联络点，即验证服务器。为了防止出现时间延迟，笔者还希望提供一些额外的保障。

　　结 论

　　为了更好得保护自己，我们可以改变自己的上网习惯。但所有改变的效果都是暂时的。坏分子总是可以想出另一种方法。因此，我们的目标应该是促使金融机构和网络商家开始实施如笔者在上文所述的真正解决方案。

　　“虽然每一项行动计划中都存在着风险和代价，但相比轻轻松松的不作为带来的长期风险和代价，它要小的多。”