.....
先看看PC上有哪些防範手段。
前文提到了用戶名/密碼、動態口令、U盾、軟證書等多種安全機制。
除了二代U盾和帶輸入的動態口令卡可以保障錢丟不了,二代U盾的安全性應該是99.9999999%,剩下的就是U盾的xss漏洞了。。。。。
這裏面大部分機制,還需要結合一些其它手段,才能更好的發揮作用。其實就是正道pk黑闊,只能說盡力抵達!!!
比如銀行在向用戶提供基本服務如賬戶信息查詢等方便只需要基本的用戶名/密碼機制。
我們知道鍵盤輸入密碼可能被木馬竊取,造成安全隱患。那麼就可以結合windows平臺的實際情況,採取一些增強手段。
其實這兒的增強更多的是來自於對Windows操作系統的風險和安全的理解。
大部分的銀行也是和一些安全廠商合作,推出了一些安全機制。如下圖的工行安全控件。
其它的一些可以分類的如:
1 、動態軟鍵盤
顧名思義,動態軟鍵盤就是不斷變化的軟鍵盤,軟鍵盤中字母的位置是動態變化的。動態軟鍵盤有下列特點:
1)軟鍵盤不是鍵盤,因此軟鍵盤可以防範各類針對鍵盤的攻擊手段,如鍵盤過濾驅動;
2)動態軟鍵盤的好處在於:使用動態軟鍵盤輸入密碼時,是使用鼠標直接在計算機屏幕上點擊密碼,鍵盤監控程序無法監測到用戶的密碼輸入;而且軟鍵盤上的數字是動態顯示的,每次登錄時數字在軟鍵盤上的位置顯示是不同的,可以避免輸入時密碼被旁邊的人看到。
2、安全控件
目前大部分銀行向非證書認證用戶提供的安全手段都是安裝安全控件,不同之處只是控件實現方式各有特色。這種安全技術儘可能防止鍵盤/消息鉤子。
3、防釣魚,無論你怎麼防範,如果安全依賴於口令這樣的機制,不可避免的會遇到被釣魚的風險。
1)預留信息驗證
幫助用戶有效識別銀行網站、防範不法分子利用假銀行網站進行網上詐騙的一項服務。
用戶可以在銀行預先記錄一段文字(即“預留信息”),當登錄工行個人網上銀行、手機銀行(WAP)、在購物網站上進行支付或在線簽訂委託繳費協議時,網頁上會自動顯示用戶預留的信息,以便您驗證是否爲真實的網站。
2) ...釣魚網站黑名單
3)登錄記錄
登錄後,網上銀行歡迎頁面將顯示上次“登錄記錄”,便於覈對實際登錄情況,如發現異常可及時採取措施。
4)開通短信提醒
定製網銀登錄、轉賬及重要信息修改提醒服務.
4、圖形驗證碼
防止自動執行,圖形驗證碼現在演進很快,主要是圖像識別的技術不斷髮展。圖形驗證碼也有商業模式了,和廣告結合到一起了。
5、濃重的筆墨:贊一下以360爲代表的安全廠商,雖然360當前有很多爭議。
但不可否認,這些安全企業推出的產品(如360安全衛士)對保障支付環節裏面針對平臺(Windows)部分起了很重要的作用。
支付企業很難有精力對Windows這樣一個龐大的系統存在的漏洞進行長期的跟蹤以及給出相應的應對。更多的依靠360等企業不斷的封堵系統的漏洞帶來的安全風險。
當然,這幾年windows7的安全也在不斷演進。用戶還是不要裸奔,第三方支付的安全對桌面的安全類產品有很大的依賴。
這也爲後續介紹手機支付寶安全機制埋下伏筆,那就是需要對系統深刻的理解。