【IT168专稿 文/kaduo】随着互联网的普及，以及大众需求层次的提高，使用网银在线交易的人数越来越多，随之因使用网银造成的诸如网银资金被盗等问题也大幅增多。针对网银面临的这些安全风险，作者近期采访了多位使用网银的用户，通过他们使用网银的经历以及他们针对网银安全的建议，希望能使大家对网银安全的了解有一些帮助。

　　2gua：时刻保持安全意识

　　我一直不是那么“潮”的人，多年来，网银一直未用，倒也不是抵触，只是觉得在工作和生活中，网银功能对我来说并不是那么迫切，相对而言，支付宝更熟悉一些吧。但是，任何“潮”的事物，都是会或早或迟到来的，于是乎，我也终于用上了网银了，并同时拥有了一个圆润流线体的Key - 招商银行的优Key。

　　刚开始使用，还是不太会用的，搜索了使用方法，上招行网站 -->下载安装客户端，并准备下载Key驱动程序，这时候才发现我是23型的优Key，免安装驱动程序-->在USB口插入Key，按提示操作就OK了，基本都是常规做法，一步步下去就是了，感觉不出有啥难或不难的。

　　总体而言，网银还是比较安全的，USB Key采用公匙和私匙双匙加密，从这个角度来看，安全度已经很高。但道高一尺、魔高一丈，漏洞总是有的，很难做到百无一失的，最重要的安全性保障措施，我认为首要在人，其次才是技术，技术可以提供必要的安全保障，但人的操作及防范意识则更加关键。比如，被木马植入电脑，用户又长期不安装安全软件，不杀毒杀木马，这些都很可能给不法分子可乘之机，通过监控你的键盘输入窃取必要的认证信息;又如，上了钓鱼网站，轻信骗子谎言而在不知不觉中被诈骗。所以，平时使用优Key时，一定要养成良好习惯，并时刻保持安全意识，用完优Key就及时拔出收好，防止被木马软件获取了PIN码后进行欺诈认证;上网银时多长一个心眼，别上了钓鱼网站，导致电脑被植入后门或泄露认证信息。从优Key技术的角度而言，也是有可加强之处，比如加强认证信息的加密机制、通过软键盘或优Key键盘输入认证信息等。

　　sun_luke：了解USB Key如何保障网银安全

　　最早接触的网银是使用的中国工商银行的动态口令卡，动态口令卡即根据每次网上要求提供的纵坐标和横坐标，使用动态口令卡查出相应的口令。动态口令的使用避免了使用单一不变的口令，只有拥有自己的动态口令卡才能查询出对应的正确的口令。从而从一定意义上保障了口令的安全性。

　　现在使用的是民生银行的U宝，造型还有很有意思的，查看了一下型号，为飞天诚信的ePass2000。网银确实对我们的工作和生活带来了巨大的方便，但是提供方便的同时，安全性保障是我们更为关注的问题。从安全角度来说，Key是一种比较安全的解决方案，它采用了双因子的身份认证方案，其一，是你必须拥有Key这个硬件设备，其二，Key通常都是设置一个使用口令，利用口令进行使用保护。因此你要使用Key的话，必须同时提供Key和口令。

　　从安全理论上来说，每个Key中均保存了一个唯一的RSA密钥对，ePass2000应该是RSA1024比特，1024比特指的是密钥的长度，该长度越长则表示越安全，比如2048比特比1024比特的安全性更高，但是对于我们目前而言，1024比特的密钥长度已经足够安全了。从Key的物理安全保护机制来说，RSA密钥对的产生是在内部执行的，其私钥是收到保护无法导出的，因此保证了其绝对的安全性。使用Key登录的过程实际上是使用RSA私钥进行签名的过程，签名的正确性可以使用其对应的数字证书进行签名验证。由于RSA算法的安全性，在没有提供对应的私钥的情况下，任何人都无法伪造你的数字签名，也就是说使用你的Key进行的签名是只有你才能够提供的，因此能够实现网络虚拟环境下的身份认证。

　　如果你的Key不慎丢失，Key还有另外一层的保护，即口令。在使用Key的时候，如果错误输入几次口令(次数可以进行设置)，则就会锁定Key，导致Key无法使用，所以在设置Key的口令时，不要设置过于简单的数字，比如“123456”，“666666”等，这样的口令很容易尝试出来。虽然有口令的保护，但是如果你的Key丢失后，还是尽快进行挂失，以保证绝对的安全，否则网银的操作可能是数目比较大的啊。

　　weixing_8888：养成良好的上网习惯

　　使用网银已经很多年了，最开始的是民生银行的网银，因为是工资卡，为了能第一时间掌握工资的到账，所以就选择开通网银。当时开通网银的时候，记得有2种选择，一种是将数字证书下载到自己电脑里那种形式，可以免费办理。另外一种是将数字证书保存到银行给的U宝里，但是那个U宝需要另外花钱买，银行不会免费赠送，因为心疼银子，当时就选择了第一种形式的证书，这种形式的证书假如电脑系统重新安装之后证书就会被格掉，就算事先备份了证书，但是因为我是菜鸟级的水平，所以每次重新安装系统之后再导入证书时，总是失败，无奈之下就要去银行重新补办证书，经过了几次繁琐的折腾之后，痛下决心，购买了U宝，“U宝”，名字很炫，可是看上去和个U盘差不多，外壳是黑色的，长方形的，有点中规中矩的样子，不像现在民生的“章鱼U宝”“生肖U宝”那么时尚，虽然样子不怎么好看，但是用着也还方便，插到电脑上自动安装了U宝驱动，接着就弹出民生的网银登录界面，输入登录密码之后，弹出了一个框，选择证书，“确定”后输入U宝密码，再“确定”后就进入了自己的网银账户界面。

　　之后还用过中信银行“USBKEY和中国银行的“动态令牌”，中信银行的网银安装了好多东西，什么“网银伴侣”“证书保管箱”“网银驱动”反正安装了好几个东东。中信的USBKEY相比民生U宝，问题会比较多，比如“每次重启电脑之后插入USBEKY时 电脑没有反应，正常是自动弹出中信的网银页面的，可是重新安装之后又恢复了正常”，有时候折腾半天都搞不定，给银行客服打过电话，也给USBKEY的厂家打过电话，最终的解决是在厂家的技术人员指导下找到问题原因的，原因是在用360安全卫士优化我电脑时将一个启动项给禁止启用，改为恢复启动后问题解决。中国银行的“动态令牌”使用就简单多了，拿回来之后电脑上基本没有安装任何网银驱动，使用的时候摁一下按钮就会显示登录密码，不过据说安全性没有USBKEY那种高，会容易被钓鱼网站诱导而导致资金被盗，幸好这种情况没有被我赶上。

　　总之，使用过这么几年网银之后，还没有发生资金被盗用的情况，我觉得养成一个良好的使用网银的习惯尤为重要，个人可以分享：第一：使用插Key的网银，使用完毕之后要尽快拔掉Key，不要像U盘那样总是插在电脑上;第二：不要在网吧等环境复杂的场合使用网银;第三：手机收到比如网银要升级，需要您登陆网站以完成升级等等短信时要谨慎，事先可以给银行客服打电话询问，一般在银行卡上都有客服电话;第四：遇到问题自己解决不了时，可以给银行或者key的厂家联系以寻求专业的帮助。

　　ora_eizo ：USB Key与OTP区别之我见

　　1、方便性：数字证书一般需要安装驱动等插件,而动态令牌则不需要,相比较动态令牌更方便些;

　　2、安全性：动态令牌每次根据时间和特有算法产生密码，相对原始的固定口令，密码时时变化安全性较高;数字证书安全性由证书自身安全和密码两部分共同构成，有证书还要有密码，相对身份确认性较好。两者比较，动态令牌一旦丢失责安全性不能保障，而数字证书则需要密码才能使用，因而认为安全性上数字证书较好些。

　　3.管理维护：动态令牌的管理维护需要专门的服务，并需要与应用系统用户管理相一致才能发挥作用。数年前使用时，因应用系统与动态令牌不是一家公司，所以开户需要两次完成，十分不便;数字证书应用的pki 和pmi的管理机制，在设计中将用户管理和权限结合紧密，数字证书可以实现权限的控制，同时也有相应专门的管理，身份确认性较好。再者动态令牌使用有时限,受电池影响，而数字证书好像没有，不损坏可长期应用。

　　从安全角度出发，本人推数字证书!

　　飞天诚信技术专家：绝对的安全是不存在的!

　　任何一种安全模式都存在一定风险，绝对的安全是不存在的。即使两个人面对面交易也是有可能泄漏自己的帐号和密码，如果别人窃听到或者通过什么办法了解到这些重要信息，被窃听者的资金恐怕也就不安全了。就类似在逛商场时钱包丢了，只能说明被偷者没有太多的防盗意识或者小偷行为太猖獗而惩罚力度又不大。

　　同样，在网络这样一个相对不安全的环境，也需要有防盗意识，在操作完成后没有将U盾拔下来，插在系统上去做别的事情也是可能会被犯罪分子利用来窃取重要信息的好机会，类似于在ATM上取完钱没有拔出卡就走了，后面的人当然可以很方便的取走你卡里的钱。但是 ，转款时，黑客将电脑屏幕弄白屏从而使得受害者不知道犯罪分子在做什么的情况，则属于在有一定的防盗意识的情况下仍然被盗走了重要信息，类似于抢了。

　　对于这样的情况，网银如果采取一定时间不操作(也许是 5分钟或者其它适当的时间间隔)就需要重新输入U盾或者说USBKey的密码，那么盗窃难度也会很大了，资金安全也会有保证一些。要想转账的话，也需要输入USBKey的密码才可以转账。那样资金安全也会有保证一些。总之，如果需要转账的时候就要 验证身份的话会安全的多。当然，USBKey的密码也被人家偷看到的话，你就等于是把家门钥匙交给人家，人家可以随便去你家拿东西是一样的了。还有一种情况是黑客设法知道了银行卡账号和密码，然后自制一个卡去取钱，出现这种情况除了严厉制裁复制卡者之外，可能就是提醒受害者增加自我保护意识了。