|
 目前,越來越多的人選擇通過網上銀進行投資,網上銀行的安全問題成為受關注的焦點。其中,不同的密碼輸入方式,涉及到的密碼泄露風險也完全不同。
直接輸入:密碼輸入易被記錄
密碼應怎么輸入?大多數普通用戶的下意識回答是“當然用鍵盤直接輸入了!”
目前網上銀行包括使用電子證書強調安全性的專業版網上銀行,普遍采用鍵盤輸入密碼。鍵盤輸入密碼無疑是最方便快捷的方式。但此種輸入方式存在巨大的安全隱患,尤其在公共場合,很容易被惡意黑客軟件竊取密碼。
據了解,目前有許多黑客軟件會偷偷隱藏在電腦的操作系統中,記錄用戶操作電腦的所有按鍵,甚至可僅在特定軟件啟動執行后才開始記錄。更有甚者,軟件會自動將按鍵記錄通過電子郵件發送給安插黑客軟件的黑客。黑客利用收到的按鍵記錄,對你登陸網上銀行所使用的用戶名和密碼就一目了然了,有了上述條件,他們自然可登陸你的網上銀行而為所欲為了。雖然在沒有電子證書的前提下,他們還不能使用諸如轉賬這樣的高級功能,但依舊可利用你的網上銀行,進行一些其他的破壞活動。
靜態模擬鍵盤:密碼依舊能被偷窺
為解決直接輸入可能造成的密碼泄露,部分網上銀行采用了模擬鍵盤輸入密碼方式。和以往直接利用鍵盤輸入密碼不同,這種方式屏幕會彈出一個虛擬鍵盤,你必須用鼠標點擊屏幕上虛擬鍵盤的對應鍵位,才能完成輸入密碼步驟。由于整個過程不涉及任何鍵盤操作,所以即使使用的電腦中不幸被植入黑客軟件,軟件也無法通過記錄按鍵來偷取密碼。雖然黑客軟件同樣也可記錄鼠標移動的幅度和鼠標按鍵的順序,但由于這些信息無法直接和密碼對應,幾乎是無效信息。
當然,為了方便用戶,許多銀行在將虛擬鍵盤作為默認的密碼輸入方式時,仍允許用戶點擊某個按鈕切換到鍵盤輸入模式。這里建議讀者,如果是在公共電腦上使用,切勿為了偷懶而切換到鍵盤輸入模式,雖然省力,但隱患卻太大。
雖然利用模擬鍵盤可規避按鍵記錄造成的密碼泄露,但其仍存在安全隱患。為方便用戶使用虛擬鍵盤,許多銀行推出的都是靜態虛擬鍵盤,其按鍵位置安排,與我們使用的鍵盤完全一致,尤其在僅需輸入數字密碼的場合,一般都模擬九宮式數字鍵盤。由于現在用戶的屏幕越來越大,相應模擬鍵盤所占屏幕面積也越來越大,有心人只需在背后窺探密碼輸入時鼠標所在的屏幕位置,即使看不清楚具體點擊的按鍵,卻依舊可推測出你所按的鍵位。
動態模擬鍵盤:按鍵越小越安全
為解決靜態模擬鍵盤的安全隱患,又有部分網上銀行采取動態模擬鍵盤來輸入密碼。相比靜態模擬鍵盤,動態模擬鍵盤上的鍵位與常用的鍵盤并不相同,而且每個按鍵的位置都是隨機決定,每次使用都不盡相同。通常的數字鍵盤采用動態鍵盤,你所看到的就不是常見的1234567890這樣的鍵位順序,而很有可能是3850872416這樣排列順序非常無厘頭的鍵位順序。
每次完全不同而且毫無規律的動態模擬鍵盤,雖然在輸入密碼時需要尋覓一下具體按鍵的位置所在,但是對于周圍不安好心的窺探者,通過窺視鼠標位置推斷按鍵也幾乎成為不可能。
當然,同為動態模擬鍵盤,不同網銀安全程度也有所不同,部分模擬按鍵設計的非常之大,使窺探難度大大降低;而部分則設計到使用者剛剛看到而已,使身邊窺探難度極高。 |