【积分已送出】联合挑战第三期大话网银安全后续

飞天诚信

怎样防止后门、木马？因为之前看过cctv的新闻有人使用这两种工具都被盗取过
这些问题在于用户有关键信息存放在计算机的硬盘或者内存当中,所以后门、木马可以窃取这些信息.如果是关键信息例如用户私钥在用户手上的硬件,例如USBKEY中,并且使用智能卡技术保证关键信息无法拷贝或转移也无法侦测,则危险性会大大提高.

尽管使用USBKEY相对安全些,但是毕竟还是由用户来保管的,如果USBKEY的密码(PIN码)丢失或者USBKEY丢失或者用户在做关键操作时离开座位,都有可能出现问题.

flb_2001

USBKEY中的信息也是可以被木马盗取的，呵呵

flb_2001

应该说动态口令也是面临比较危险的，它容易被截取，虽然有时间限制

飞天诚信

网银现在用的都少了，现在主要是对第三方支付平台用的很多，比如支付宝。对这方面的安全防范有没有具体措施？ 此外最近信用卡盗取现在也很严重，如何规避这方面的风险？

支付宝这样的第三方支付平台应用当中使用了USBKEY,目前是支付盾.安全是用智能卡技术和数字证书技术来保证的. 智能卡技术主要保证的USBKEY中的关键信息无法获取和复制.数字证书技术则是结合了权威的身份认证和数据加密以及交易的不可抵赖性来保证用户数据安全的.

关于信用卡盗取问题,犯罪分子还是获取了信用卡中的信息了才可以复制的.

飞天诚信

原帖由 flb_2001 于 2009-4-27 15:57 发表
USBKEY中的信息也是可以被木马盗取的，呵呵

其实准确的说没有绝对安全的事情,要看USBKEY中的哪些信息被木马盗取.你指哪些信息呢?私钥还是什么?

flb_2001

原帖由 飞天诚信 于 2009-4-27 16:02 发表
智能卡技术主要保证的USBKEY中的关键信息无法获取和复制 ...

无法获取是怎么实现？

飞天诚信

便捷性来说，我用的建行的UKEY，需要安装驱动程序什么的，这样的话我在其他电脑上使用就不方便了，所以，有没有只要一次设置，其他电脑上都可以使用的？

我可以理解你的想法,这是安全性和方便性的一个冲突.只要一次设置，其他电脑上都可以使用的这样的做法势必把某些用户信息和权限存放在了某服务器端,也存在一些问题. 目前可以做到安装程序在KEY中,安装时不需要用户干预.插入KEY即安装相应驱动程序.

flb_2001

那是否有将所有信息置于KEY中，用的时候直接从KEY中调用，驱动程序等不需要安装的

飞天诚信

USBKEY内部包含微处理器单元（CPU）、存储单元（RAM、ROM和EEPROM）、和输入/输出接口单元。其中，RAM用于存放运算过程中的中间数据，ROM中固化有片内操作系统COS（Card OperatingSystem），而EEPROM用于存放持卡人的个人信息以及发行单位的有关信息。CPU管理信息的加/解密和传输，严格防范非法访问卡内信息，发现数次非法访问，将锁死相应的信息区（也可用高一级命令解锁）。关键信息例如私钥也无法导出.但是,如果KEY丢失同时PIN码也被犯罪分子知道或者试出来的话,犯罪分子就具有了和KEY主人一样的权限.