网上支付安全关键 单靠密码孤掌难鸣

　　近年来网上支付日益流行，但渐渐地，用户对这种支付方式既爱又怕。一方面金融机构对网上支付带来的成本效益趋之若骛，消费者也深感其便利，然而，参与交易的各个相关群体对网上支付的安全风险越来越担忧。

　　网上交易的安全问题在中国也引起了关注。2009年6月底，公安部发布了针对网上交易帐户信息泄露的警告。公布指出最近发生多起案例，犯罪分子盗取用户的银行帐号以及用于网银安全交易的密码，进行不法活动。

　　全球数字安全领域的领导厂商金雅拓认为，无疑网络欺诈正在变得越来越复杂和狡猾。但是网上支付可以非常安全，只要我们认识到导致危险的根源 - 单一使用密码远远不够。

　　密码 - 一攻即破?

　　互联网安全问题的根源在于过度依赖密码保护用户的网上身份、帐户以及资产，一旦密码被盗，安全保护便变得千疮百孔。密码本应该是安全交易的守卫，但反变成“开门揖盗”似的，这是何解?

　　网络钓鱼是获取用户敏感信息(例如：密码以及信用卡资料)的一种骗局，它通过邮件或者其他虚假网页欺骗用户，让他们误以为自己登陆了银行、证券公司或者自己公司的网站。

　　间谍软件以及恶意软件未经过用户授权就收集用户的个人信息，它包括特洛伊木马、蠕虫、病毒、密码和屏幕记录器等。

　　“中间人攻击”是指黑客能够任意读取、插入以及修改正在网络上交流的双方的信息，而任何一方都不知道他们之间的连接已经被入侵。

　　增强安全交易的解决方案

　　如果单靠密码不能够为网上支付提供足够强大的保护，那应如何弥补这个漏洞?

　　金雅拓认为，识别因素越多，身份鉴别机制也就越强大。为了使网上支付更加安全，金雅拓借助其在设计及生产个人安全设备方面的三十年经验，开发了整套身份鉴别以及数字签名解决方案，其方案广被全球数十亿名用户所采用。

　　智能卡

　　网银用户使用他们自己的支付卡以及独立的读卡器登陆网银页面，无需安装任何软件就能够完成交易。用户将银行卡插入读卡器后，他会被提示输入自己的个人密码，然后安全设备会格式化并显示一个一次性密码。这个一次性密码是不重复且不可复用的。因为它只能使用一次，所以即使被盗，也是无效密码。

　　令牌

　　独立使用的令牌上有一个按钮，用户一按就能生成一个一次性密码，然后一个经过计算得出的新的动态密码就会显示在屏幕上。同时，用户还需输入个人密码作为第二重身份识别方法，确保令牌丢失或者被盗之后不能被他人所用。

　　公共密匙安全体系

　　为了给身份鉴别机制以及数据，文件和网上交易签名提供数字签名的特色功能，金雅拓为客户提出了基于公共密匙技术的一整套解决方案。这套解决方案简单且安全，它的易用性和高安全标准可以更好地满足客户的需求。

　　经过检验的安全网银服务经验

　　2007年，全球十大银行之一的巴克莱银行决定在其现有的EMV卡的基础之上推出EMV一次性密码项目以确保他们网上银行服务的安全性。2007年的夏天，巴克莱银行开始向其用户发放EMV一次性密码读卡器。金雅拓为这个项目提供了全套解决方案。这个造型独特的设备印有该银行的标识，发放给巴克莱银行的企业客户以及个人用户，在方案实施之后，没有一个客户遭受网银交易欺诈。2007年12月，巴克莱银行决定将项目推行至涵盖所有用户。目前，已经有超过一百万的巴克莱银行用户持有金雅拓读卡器，该项目减少了至少70%的网上欺诈行为。