【积分已送出】联合挑战第三期大话网银安全后续

yellvene

继联合挑战“第一期大话身份识别”和“第二期大话流控”活动后，本期——“第三期大话网银安全”继续特别感谢各位新老网友的关注和支持~！
与上期活动一样，我们对参与本期活动并提出有效问题的前10位网友添加了200积分，对所提问题被选入现场论辩则再加300积分。

——————————————————————————————————————————————————
本期现场论辩已于5月18日下午14：30-16：30准时进行！
视频查看地址：http://safe.it168.com/focus/200905/lianhetiaozhan3/index.html


以下是来自从业者飞天诚信资深技术工程师的实地采拍：
[wmv]http://wmv.it168.com/another/090513/wangyin.wmv[/wmv]


————————————————————————————————————————————————
【两周问题公告】
flb_2001 精灵使
1.目前最安全的网银工具是什么？以前有动态密码卡，现在有什么ukey的,动态密码卡使用的是什么原理实现的？USBKEY又是什么原理?
2.怎样防止后门、木马？因为之前看过cctv的新闻有人使用这两种工具都被盗取过.
3.便捷性来说，我用的建行的UKEY，需要安装驱动程序什么的，这样的话我在其他电脑上使用就不方便了，所以，有没有只要一次设置，其他电脑上都可以使用的？

king_se 新手
网银现在用的都少了，现在主要是对第三方支付平台用的很多，比如支付宝。对这方面的安全防范有没有具体措施？ 此外最近信用卡盗取现在也很严重，如何规避这方面的风险？

kns1024wh    (百湖)
目前的一个问题就是网银使用过程中的用户体验问题：1、Linux用户能够被支持的网银的数量真的是很少，主流的招商的是微软的线路，绝对是不支持的；2、使用动态口令方式的，网络和数据的延迟与使用动态口令卡是有很大的不同的；3、就是目前使用UsbKey的，费用支持和设备的专有性也是比较讨厌的，这个只有在自己的pc上使用是很便利的；4、就是网银使用中出现问题，不同的机构处理和解决的方式也影响用户的体验；
相对网银 支付宝和paypal的支付功能是很好的体验过程，当然也是存在一定的差异；
网银的关键还是用户体验；目前的网银的安全技术应该是可以信赖的，而有用户体验引发的不便是很多的；

lygxy 圣骑士
1.开源平台的下网银安全技术？
2.国内网银对开源平台的态度很支持？

danidesign
1.银联本来是做渠道的，但是现在网上支付渠道应用做的好的还应该是第三方支付的公司。原因何在？

gawk    (ems)
网银的手机支付有没有考虑过？

800000 、山野村夫
网银的安全技术也已经有了很多，如动态口令卡，USB Key，RSA 令牌等，这些技术各有什么优劣，这些技术的发展趋势如何？

veking
在线支付的网银现在有的使用web（大多数），有的使用客户端（招行专业版），不知道这两种的安全程度如何？

——————————————————————————————————————————————————————
关于联合挑战第三期
主办方：IT168
活动名称：趣解应用疑惑  2009“联合挑战”第三期
主题：大话网银安全（便捷与安全的博弈）
活动形式：征集问题+招募网友——>专家精选——>现场论辩——>轻松联谊
活动类型：趣味性、益智性
活动时间：2009年4月27日~5月底
4月27日ChinaUnix、IXPUB同时启动征选
5月18日现场论辩
……
    IT168“联合挑战”系列活动，是一档轻松有趣、针对不同细分领域的互动活动，旨在透过征集身处应用一线的广泛网友的问题、困惑以及业内资深专家的旁观视角，深入了解和挖掘若干IT细分领域的当前市场需求和未来技术与产品的潜在发展方向。

    具体来说，“联合挑战”系列活动是以“有趣、有效”为原则，彰显“趣味性、益智性”特色，涵盖了“线上问题帖的征集、活跃网友的招募、线下精彩对决的流媒体节目录制以及频道下活动专题页面的全程跟踪和报道”等环节，为期1个月左右，并有惊喜礼品送出，欢迎各位网友踊跃参与！

    就本期的主题，IT168将与飞天诚信联手协作，欢迎各类企业网用户提出自己在实际工作和生活中所遇到的网银应用问题，比如有哪些新兴技术能让网银更安全、网银技术与产品如何兼顾便捷性与安全性等。我们将根据被讨论次数和其他网友的评论筛选出10名活跃网友予以积分的累计，同时还将挑选5名精华问题的提供网友，一起参与现场活动，与专家、厂商激情论辩……
   
    还等什么呢？即刻起，跟帖即算发问，并有机会入选精华问题、领取奖品、参与现场论辩及联谊……

[ 本帖最后由 yellvene 于 2009-6-4 23:27 编辑 ]

yellvene

随着活动的不断进行，大家一定也慢慢了解了联合挑战这个活动了，我们也会在每期精心策划不同的花样方式及内容，以便大家更轻松获得想要的内容价值。敬请关注和参与！

diyself

虽然没有使用网银，不过还是友情关注中


有哪些技术可以确保网银的安全呢？

flb_2001

目前最安全的网银工具是什么？以前有动态密码卡，现在有什么ukey的

flb_2001

动态密码卡使用的是什么原理实现的？
USBKEY又是什么原理？

flb_2001

怎样防止后门、木马？因为之前看过cctv的新闻有人使用这两种工具都被盗取过

flb_2001

便捷性来说，我用的建行的UKEY，需要安装驱动程序什么的，这样的话我在其他电脑上使用就不方便了，所以，有没有只要一次设置，其他电脑上都可以使用的？

飞天诚信

回答各位网友的问题,我介绍以下目前的几种常见的身份认证方式:
1、密码+用户名——作为一种低成本、方便的使用形式，此种方式在网络应用中很普遍。但是由于“密码”和“用户名（或者账号）”作为软性标识，很容易忘记或者被他人有意或无意获取。因此只是适合一些安全性要求不高，即使丢失被他人使用或盗用也不会产生巨大影响的应用中。
2、动态口令卡（令牌）——这是一种新型的密码认证的改进型。是为了弥补“密码+用户名”认证中，静态口令如果设置复杂不容易记忆以及容易被别人获取的缺陷。认证中用户口令是动态改变的，一般会发给用户一个令牌，上面显示的数字是随时间变化的。这串变化的数字就是用户进入系统的口令。该系统由用户端的密码卡和应用系统端的认证服务器组成。用户登录应用系统时，依据安全算法，认证系统会在密码卡的专用芯片和认证服务器上同时生成动态密码，经过比较，若双方密码相同，则为合法用户，否则为非法用户。
用户端的密码卡使用起来非常简单。用户登录前，只要在卡上输入由用户掌握的开启PIN码，卡上就会显示出当前生成的动态密码，用户按照此密码登录即可。
动态口令卡解决了服务器端认证用户端的身份认证，但是不能反向认证即用户端认证服务器端身份。同时有一个时间同步的问题，如果用户端与服务器端之间时差很大或者网络速度较慢，客户就会因为网络延迟而无法登录到服务器。
3、生物识别技术——是利用人们的生物特征（如指纹、声音、视网膜等）来进行识别的一种高安全的解决方案。此技术是预先收集目标用户的生物特征样本，存储在系统中。用户在使用时，只是进行简单地操作（如把手指放在指纹扫描器上），系统采集到活体数据与存有的样本进行比较，以此来完成身份的判别。但是由于人体生物特征的采集与整理需要昂贵的设备。对于网络应用中，如每一个用户端安装一个数据采集装置，成本是一个瓶颈。如若再考虑移动上网的用户，此种认证方式并不适合。因此目前仅适用于安全性较高的固定场合，如银行、门禁等。
4、智能卡身份识别技术——智能卡作为一种身份识别技术开始于九十年代。互联网发展以来，许多厂家把IC卡作为身份认证的解决方案提供给用户。但是大批量使用IC卡时人们遇到了困难——IC卡片与读卡器的总体成本较高；读卡器体积庞大不便于携带；各种读卡器的标准不统一，任何一种读卡器都无法读取市面上所有的IC卡片。
5、基于PKI体系的数字证书认证——数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证.它是由一个权威机构——CA机构，又称为证书授权(Certificate Authority)中心发行的，人们可以在网络交往中用它来识别对方的身份。数字证书不仅能进行身份认证，同时数字证书还能确保信息传输的保密性、数据交换的完整性、发送信息的不可否认性。

飞天诚信

以上这些方式都可以用于网银的安全,但是级别和应用的方面不同.

飞天诚信

其实关于目前最安全的网银工具是什么？大家的看法可能不同,但是结合了USBKEY和生物识别的网银工具应该是成本适中安全性很高的解决方案.