双因素认证:网银安全的保障

中国银监会最近颁布的文件要求所有网络银行在进行高风险交易时，必须使用双因素身份认证技术进行身份的识别。

6月29日，中国银监会颁布了《关于做好网上银行风险管理和服务的通知》（银监办发[2007]134号）（以下简称《通知》）的重要文件，要求各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。

以往，国内许多网银为了争夺客户，很少提及网银面临的安全风险，甚至对转账等高风险的操作也没有要求任何安全措施，这给用户带来极大的安全风险。而这一文件的出台，不仅标志着中国的网银正在与国际接轨，也标志着中国的网银安全即将进入一个新的时代。

网银安全令人担心

经过多年的发展，目前，中国乃至全世界的各种商业银行，都建立了网上银行系统。中国的网银用户的数量同样发展迅速，但遗憾的是，比较起中国的上网人数来说，其所占比例并不高。

iResearch公司最近的一份调查显示，近年来，网银用户在互联网用户中的总体比例不升反降，2007年比起2006年，网银用户所占比例由21.8%下降到21.7%，如图1所示。

图1 中国网上银行用户占互联网用户比例

原因是什么呢？iResearch公司的调查显示，最主要的原因是对网银安全的不放心，持有这一观点的占被调查人数的68.1%，其次，认为网银注册太麻烦的占总体人数的34.7%，如图2所示。

图2 网民不使用网上银行的原因

在这种情况下，采用各种技术手段以方便的方法保证网银的安全，成为各个商业银行必须采取的做法。而双因素身份认证技术，则再次成为网银安全的首选技术。

双因素身份认证技术的比较

事实上，各国政府对双因素技术都有清晰的认识，并从法律上进行了规定。2004年，新加坡金融管理局 (MAS) 提出规定，要求各银行在2006年12月之前为网银用户登录提供双因素身份认证；2005年，美国联邦金融机构监理委员会FFIEC (USA) 提出，合理实施的多重身份认证在应对网络欺诈威胁时更加可靠。而今年，中国银监会则开始要求网银加强用户身份管理，在2007年年底前对于高风险网上银行服务必须提供双重身份认证。

那么，什么是双因素身份认证技术呢？

双因素是密码学的一个概念，从理论上来说，身份认证有三个要素：

第一个要素：需要使用者记忆的身份认证内容，例如账户和密码等。

第二个要素：使用者拥有的特殊认证加强机制，例如数字证书、一次一密的动态密码、IC卡、磁卡等。

第三个要素：使用者本身的唯一特征，例如指纹、虹膜、声音等等……

一般人们登录网银只使用第一个要素，但它是一种不安全的方式。这种“用户名＋密码”的方式又被称为静态密码，会产生很多问题，比如为了维护密码安全性，一般要求使用相当长的长度，中英文数字夹杂、大小写间隔等，但这给使用者带来极大的记忆麻烦，于是，为了方便，许多使用者常常采用一些习惯用的数字，例如家人的生日、自己的生日、身高体重、电话或门牌号码等，只要利用黑客工具，如字典攻击法等等便能在短时间内将密码破解; 甚至只要有人在身后窥视便可探知密码; 而熟悉的人则很容易猜测到密码。

因此，将其中两种要素结合则成为现在更安全的认证作法，这就是所谓的“双因素认证”，其可结合用户拥有的认证设备以及其已知的信息两个因素同时使用，就跟利用自动柜员机提款一样：使用者必需利用提款卡(认证设备)，再输入个人识别号码(已知信息)，才能提取其账户的款项。

目前，市场上常用的双因素认证技术有：数字证书(也叫CA证书)、动态密码（刮刮卡属于动态密码的一种）和生物识别技术。

这几种技术各有优缺点。

数字证书目前分两种：软件证书和USB Key硬件数字证书，这是目前中国的大多数商业银行采取的安全技术。软件数字证书使用虽然简单，但已经被证明有安全漏洞，一旦软件数字证书被人拷贝走，就面临很高的安全风险。目前中国的商业银行已经决定放弃软件数字证书。硬件数字证书被认为是非常安全的技术，也是被中国的商业银行大力采用的技术。但其最大的问题是使用起来很麻烦，人们必须携带USB Key，插入电脑中才能工作。对一些型号稍微老一点的桌面电脑来说，USB端口在主机的后面，拔插USB Key非常不方便。此外，USB Key的后台管理还存在一些难题，如在运行电子证书服务时，管理员权限过大；不同银行的方案有所不同，这样用户需要去熟悉各种不同的方案，造成了进一步的不方便。

动态密码技术是一次一变的密码技术，采取时间同步或事件同步的方式，让用户手中的令牌获得的密码与网银后台中的密码保持一致。这种双因素认证方式安全、高效，并且使用起来也很方便，逐渐被银行和用户接受，目前，这种方式已经在国外以及中国的香港、台湾地区的银行中获得了广泛的应用，并且，也逐渐被中国内地的银行接受。中国工商银行不久前推出的刮刮卡、矩阵卡，就是动态密码的一种类型。为了方便使用，某些银行还可通过手机短消息的方式提供动态密码。虽然安全，但动态密码方式也存在一个巨大的难题:一个人不可能只有一家银行的账户，在这种情况下，人们可能拿着多家银行的动态密码令牌，这依然造成了巨大的不方便，如何将各种不同的令牌统一起来，是银行面临的下一个课题。

生物认证技术从理论上说是更安全的网银安全技术，但从现实角度出发，这需要在每个计算机终端上安装生物识别读卡器，在目前的环境下，显然是做不到的，因此，它可能是未来的保护网银安全的技术，但在目前，它缺乏实用性。

各种网银双因素身份认证技术的比较如图3所示。

图3 网银各种双因素身份认证技术对比

中国香港银行的做法

网银采取什么安全措施，完全决定于商业银行自身。这里，我们讲讲中国香港的银行采取的做法。他们在网银方面比起内地发展要快一些，因此，其采用的安全技术，对内地的网银具有借鉴意义。

目前，香港的银行已经采纳了3种双因素认证方案:数字证书 (由香港邮政局颁发的电子证书 eCert)、产生一次性密码（OTP）的电子设备(动态令牌)以及包含一次性密码（OTP）的短消息 (SMS-OTP)服务。

在香港，多数银行都采用了数字证书的双因素认证方式。但由于香港的数字证书发放比较早，由于许多用户的电脑还比较陈旧，应用起来不方便，采用该项技术的人在逐渐减少，而颁发CA证书的香港邮政局也因为用户的减少而退出了CA服务，将该服务外包给另一家第三方服务提供商，这样用户更加不放心，因此，采用CA证书的网银用户在逐渐减少。香港银行采用各种网银安全技术的情况如图4所示。

动态密码令牌在这种情况下开始流行。它的优势在于，可降低欺诈和身份窃取的风险，随时随地提供，不受地域限制；可简化消费者的认证步骤；易于使用，响应快速。例如，中国建设银行亚洲分行（前身为美国银行的亚洲分部）就采取了这种方式。

在双因素身份认证技术的用法上，香港的一些银行并不一样，比如，汇丰银行采取了在一进入网银时，用户就进行双因素认证的做法。而其他的一些银行，比如建行亚洲分行，则采取相反的做法，只在3个高风险的交易中才采用双因素认证，其他业务依然采用单因素身份认证。这三个业务是: 一是没有登记的转账，就是把钱从自己的户口转到第三者的户口，这个户口如果没有登记，就要用双因素认证才可以把钱转过去；二是做海外的汇款；三是信用卡交易。

这两种用法各有利弊。前者可以保证所有业务的安全，但用户如果在此环境下长期挂在网上，容易被黑客入侵，反而增加了安全风险；后者在日常查询、浏览时安全性稍差，但即使这时网银被攻破，资金账户的安全还是有保证的，因此，笔者认为后者是更安全的一种做法。

此外，对于目前人们容易上当受骗的“钓鱼”网站，香港的银行也有很简单有效的防护方法，这就是与网银客户达成一个简单的小秘密：一旦用户登录进入网银，就弹出一个用户早已经提交的图片，比如家人、宠物、孩子、汽车等的照片，而“钓鱼”网站是不知道这些小秘密的，从技术实现来说也并不困难。通过这个小小的技巧，就有效地预防了“钓鱼”攻击。

目前，中国内地的许多银行采用的是数字证书的双因素认证方式。由于内地的电脑均比较新，USB端口也逐渐从设备的背后移到前面，再加上信息产业部正在大力推进数字证书的发展，因此，数字证书有可能在内地比香港更加流行。预计未来数字证书和动态密码将成为两种主流的网银双因素认证方式。

链接一:什么是双因素认证？

双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用，预先注册在银行的本人用户名及口令/密码；附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息（物理介质或电子设备等）。附加身份认证信息应不易被复制、修改和破解。

从技术上来说，附加身份认证包括数字证书（USB Key）、动态密码（令牌、指纹、密码卡、刮刮卡）、生物认证（虹膜、指纹等）。

链接二:如何界定网银高风险交易？

《通知》规定，商业银行可根据业务发展需要和风险控制要求对本行网上银行高风险账户操作进行具体界定。高风险账户操作应至少包括：向非本人（不含与本行签订业务合作等法律协议和客户预先约定的指定账户，如：代收费、第三方支付、贷款还款账户等）账户转移资金单笔超过1000元或日累计超过5000元。对于身份认证强度相对较弱的网上银行账户操作，商业银行应充分评估风险，相应进一步采取控制措施（如：限制资金转移功能、限定资金转移额度等）进行有效防范。商业银行还应积极研发和应用各类维护网上银行使用安全的技术和手段，保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。