惊魂300秒：假冒中行网银血洗客户涉数千万资金

ICBC_麦杰波 · 发表于 2012-3-16 23:46:25

我还是用阳光网盾。。。
$ w3 |' H- k7 R7 o1 ~jzm 发表于 2011-2-22 23:18

我被光大token了

ICBC_leo4cn · 发表于 2012-3-17 00:02:04

我被光大token了7 N1 ~' W3 W* @5 J
麦杰波发表于 2011-2-24 10:53

boc用token比较好理解，实在不明白光大为什么弃ukey转入token

ICBC_龙的传人 · 发表于 2012-3-17 00:16:19

boc用token比较好理解，实在不明白光大为什么弃ukey转入token' u+ \5 {; K4 F4 T4 ?$ N6 F6 x" j
leo4cn 发表于 2011-2-24 11:31

token相对u-key来说,成本较低廉,且无须购买证书

ICBC_疯雨 · 发表于 2012-3-17 00:25:34

就便利性和安全性来说，动态密码器还是很好的，我个人就喜欢用光大和中银的密码器，插Key多麻烦。而且动态密码器的使用可以涵盖手机银行、电话银行等电子银行渠道，Key就没法插。
最重要的是自己要有安全防范意识和鉴别能力，不给犯罪分子可乘之机。假设自己傻，再安全的手段机制都是枉然，工行U盾曾经出现的大量网银资金被盗案件就是先例。

ICBC_桂系军阀 · 发表于 2012-3-17 00:36:52

我觉得这正是u key比 token安全的地方
3 H1 e2 w: F P8 |6 Z. q8 w. ~麦杰波发表于 2011-2-24 10:50

明显没有物理接触是安全的。只要客户不主动泄露口令。自己把口令和盘托出，还去怪他不安全？

ICBC_zqhuang · 发表于 2012-3-17 00:53:51

二代ukey比较一代怎么克服pc被劫持情况下的风险问题的呢？我没用过二代，不太清楚二代的放劫持原 ...$ }- T9 [+ P" | Y
leo4cn 发表于 2011-2-24 10:30

USB key本身是CPU芯片，它的目的就是对交易要素进行加密、计算摘要、数字签名和身份认证。
一般一代USB key的做法是：客户的PC终端在PC界面上显示交易要素，请客户确认，然后通过USB接口把交易要素传送给USB key，USB key对交易要素进行加密、计算摘要、数字签名和身份认证的计算后，把计算结果通过USB接口回传给PC机，PC机再把该结果发给银行服务器，从而完成交易。
问题是，假设PC机本身被黑，在PC界面上显示的是用户确认的交易要素，而PC机通过USB接口传送给USB key的所谓“交易要素”实际上是劫持者篡改的自己的“交易要素”，那么USB key实际上就是在帮劫持者了。
二代USB key自带显示屏和键盘，PC机通过USB接口传送给USB key的交易要素会在USB key自带的显示屏上显示，由用户通过USB key自带的键盘进行确认，从而杜绝了PC机被劫持所引起的问题。
当然，假设劫持者连USB key本身也劫持了，那就彻底完了。这时候，就只能靠动态口令了，毕竟物理隔离更安全，除非把人也黑了。

账号		自动登录	找回密码
密码			立即加入我玩卡

惊魂300秒：假冒中行网银血洗客户 涉数千万资金

浏览过的版块

惊魂300秒：假冒中行网银血洗客户涉数千万资金