如果說(shuō),三年前在中國(guó),使用網(wǎng)上銀行還象談?wù)撟钚碌暮萌R塢大片一樣是一種時(shí)尚。那么三年后的今天,起碼在城市,穿著拖鞋坐在家里,一手端著咖啡,一手輕點(diǎn)鼠標(biāo)完成一筆轉(zhuǎn)賬或股票交易,正變得越來(lái)越平常。
方便、快捷的交易特點(diǎn)如同一種致命誘惑,促成了過去幾年中國(guó)的網(wǎng)銀客戶象春草一樣瘋長(zhǎng)。來(lái)自艾瑞市場(chǎng)咨詢的預(yù)計(jì),2006年中國(guó)網(wǎng)上銀行用戶規(guī)模已經(jīng)達(dá)到7100萬(wàn)戶,其中,個(gè)人客戶7000萬(wàn)。這意味著20個(gè)人里,就有一個(gè)人在使用網(wǎng)上銀行。如果限定在城市范圍,上述比例則更高。
與此同時(shí),盡管各家銀行不斷對(duì)其網(wǎng)銀進(jìn)行升級(jí)加強(qiáng),但網(wǎng)銀盜詐事件仍時(shí)有發(fā)生,網(wǎng)銀的安全性正成為那些網(wǎng)銀的使用者和潛在客戶擔(dān)憂的主要問題。盜詐背后,究竟應(yīng)歸咎為銀行的技術(shù)系統(tǒng)不過關(guān),還是客戶自己的粗心大意,亦或監(jiān)管的缺位,正成為一個(gè)急待理清的問題。
銀行是否還要保留大眾版?
目前,網(wǎng)上銀行一般都區(qū)分大眾版和專業(yè)版。而據(jù)統(tǒng)計(jì),目前90%以上的案件大部分發(fā)生在“大眾版”網(wǎng)上銀行。資深網(wǎng)銀專家、艾瑞市場(chǎng)咨詢分析師柳龍濤向記者指出,除了在服務(wù)內(nèi)容方面不同以外,兩者的區(qū)別在于專業(yè)版采取了數(shù)字證書和U盾等技術(shù)。
在他看來(lái),專業(yè)版好比一個(gè)黑箱,個(gè)人信息好比打開這把黑箱的鑰匙。箱子里有一把,箱子外客戶有一把。其他人除非從客戶手中拿到這把鑰匙打開箱子,否則是沒有其他辦法進(jìn)入的。“在技術(shù)方面,我們可以說(shuō)是和世界接軌的。” 劉龍濤說(shuō)。
一位銀行業(yè)人士向記者表示,目前的主要問題是:網(wǎng)上銀行最安全的防線(數(shù)字證書)沒有得到普及,絕大多數(shù)用戶仍然是大眾版“卡號(hào)+口令”的使用者。數(shù)字證書的使用者網(wǎng)上銀行被盜的可能性極小,即使出現(xiàn)被盜,第三方數(shù)字證書認(rèn)證機(jī)構(gòu)也明確了愿意承擔(dān)賠償責(zé)任。
上述人士稱,雖然大眾版的服務(wù)內(nèi)容有限,但開通比較簡(jiǎn)單。與之相比,專業(yè)版的開通則需要相對(duì)比較煩瑣的程序,且有一定的收費(fèi)(如用戶購(gòu)買工行的U盾需要花60-70元)。因此大眾版可最大限度的吸引潛在客戶,有利于網(wǎng)銀的進(jìn)一步推廣。但不可否認(rèn),其安全性確實(shí)要低一些。
記者瀏覽各家銀行網(wǎng)站注意到,對(duì)于數(shù)字證書和USB Key的使用,各家銀行一般僅為建議采用,并非一個(gè)強(qiáng)制方案。一位網(wǎng)銀客戶向記者稱,他覺得既然沒有強(qiáng)制申請(qǐng),說(shuō)明銀行能保證自己的資金安全,也就對(duì)數(shù)字證書沒怎么重視。
統(tǒng)計(jì)顯示,中國(guó)目前的網(wǎng)上銀行用戶中,數(shù)字證書使用者在5%以下。一位律師向記者稱,數(shù)字證書沒有普及顯然不是個(gè)人問題。因?yàn)槿绻y行在明知沒有數(shù)字證書的情況下,用戶在網(wǎng)上的賬號(hào)、密碼可能被盜,仍然為95%的用戶提供網(wǎng)上支付服務(wù),銀行應(yīng)當(dāng)難辭其咎。
客戶自身未養(yǎng)成良好的習(xí)慣
不過,即便如此,大部分的銀行資金盜詐案件仍源于客戶自身的過失。艾瑞市場(chǎng)咨詢分析師柳龍濤向記者稱,事實(shí)上,在網(wǎng)絡(luò)世界中,客戶在很多方面都有可能將自己的個(gè)人資料遺失,或者遭遇盜竊,而這些就有可能被竊詐者通過網(wǎng)銀去轉(zhuǎn)移其賬戶資金。
他舉例說(shuō),比如有的客戶粗心大意,在一些虛假網(wǎng)站(釣魚網(wǎng)站)上注冊(cè)了自己的個(gè)人信息材料;打開一些不明郵件,被其中的木馬病毒盜取了個(gè)人信息;喜歡用自己的生日作為密碼等等。
他還特意強(qiáng)調(diào)了一些非技術(shù)的因素。比如從一些已經(jīng)發(fā)現(xiàn)的網(wǎng)銀案件來(lái)看,不乏熟人做案!笆烊俗盍私饽愕男郧榱(xí)慣,在這方面,注意保護(hù)個(gè)人信息,尤為重要。”柳龍濤說(shuō)。
客戶應(yīng)對(duì)自己的不良習(xí)慣負(fù)責(zé),而另一方面,銀行也要盡到充分的提示義務(wù)。
監(jiān)管缺位
在銀行和客戶之外,網(wǎng)銀的安全性問題,實(shí)際上也反映了監(jiān)管的缺位。這表現(xiàn)在對(duì)于網(wǎng)上銀行仍缺乏專門的針對(duì)性的法規(guī)。對(duì)于網(wǎng)銀產(chǎn)業(yè)鏈上的各個(gè)主體,如銀行、網(wǎng)絡(luò)技術(shù)公司、金融認(rèn)證機(jī)構(gòu)、客戶等缺乏系統(tǒng)的權(quán)責(zé)安排。
業(yè)內(nèi)一位人士指出,這實(shí)際上跟我國(guó)目前整個(gè)的監(jiān)管體制和監(jiān)管水平相關(guān)。如何在保障安全和促進(jìn)網(wǎng)銀發(fā)展之間尋求平衡,以跟上現(xiàn)代金融革命的步伐,顯然是一個(gè)極具挑戰(zhàn)性的課題。
在這些問題得不到系統(tǒng)解決的情況下,客戶的網(wǎng)銀資金安全問題,依然是始終懸掛在其頭上的一把達(dá)莫克里斯之劍。(謝曉冬 唐軼男)
資料鏈接:何為USB Key?
USB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的私鑰以及數(shù)字證書,利用USB Key內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。由于用戶私鑰保存在密碼鎖中,理論上使用任何方式都無(wú)法讀取,因此保證了用戶認(rèn)證的安全性,是一種目前網(wǎng)上銀行應(yīng)用較廣泛的身份認(rèn)證產(chǎn)品,一些銀行的U盾、優(yōu)KEY等都是這種產(chǎn)品。
它的使用方法是,用戶登錄時(shí)在電腦上插入U(xiǎn)SB Key,然后輸入PIN碼,如果驗(yàn)證通過,則可以進(jìn)行相關(guān)交易。
USB Key的硬件和PIN碼構(gòu)成了可以使用證書的兩個(gè)必要因素。如果用戶PIN碼被泄漏,只要USB Key本身不被盜用即安全。但USB Key在實(shí)際使用中也有一定風(fēng)險(xiǎn),由于PIN碼是在用戶電腦上輸入的,如果用戶不及時(shí)取走USB Key,那么黑客可以通過截獲的PIN碼來(lái)取得虛假認(rèn)證,仍然存在安全隱患。(厲炎)