您现在的位置是:首页 > 行业 > 金融 >

建行:防不专业的用户却不防小人

2008-09-10 17:46:00作者: 来源:

摘要建设银行,建设银行同工行比较.建行把“宝”压在文件证书上面,因为文件证书的存在,一下子抬高了使用门槛.但是建行的证书下载和备份有一个最大的问题,就是一旦电脑被别人窃取(或者短时间控制),对于一个普通的计算机操作人员,都可以很容易通过ie把用户证书备份出来。...

 
  建设银行,建设银行同工行比较.建行把“宝”压在文件证书上面,因为文件证书的存在,一下子抬高了使用门槛.但是建行的证书下载和备份有一个最大的问题,就是一旦电脑被别人窃取(或者短时间控制),对于一个普通的计算机操作人员,都可以很容易通过ie把用户证书备份出来,这个备份过程并不需要密码等支持.说的极端一点,建行的证书模式等于洞门大开!只要某一天,你开着电脑,上厕所的时间,另外一个人就可以备份走你的建行电子银行的证书.而自己的证书一旦丢失,又得上建行重新申请.有点防君子不防小人的味道.
 
  如果要盗窃建行用户的电子银行钱款,最好就是亲近的人,直接获取到证书,然后用望远镜或者摄像头,直接窃取密码,就可以轻松转走钱款.(这里补充一句,工行还设定了口令卡转款最高上限,建行的上限却是无穷大!),或者利用黑客技术(这里面的技术我就不懂了),盗用证书后,并盗用密码,也可以转走钱款.所以当你听说国内电子银行最高被盗上限是16w,储户来自建行,我觉的一点都不奇怪.
 
  另外建行也提供口令卡,但是不够彻底的是,口令卡要2块钱(原来要5块),建行看来果然贪财.同时设计上,建行的口令卡只能用29次.而且是顺序排列,加上没有预留信息,直接给钓鱼网站一个机会.假如钓鱼网站诱惑你成功登陆后,就直接获取了你的账号(或者登陆名)、登陆(查询)密码.如果你对自己的钱款余额不太关注,可以诱骗你刮一次口令卡,然后盗窃团伙直接用这个口令卡上的口令就可以轻松搞定你户头所有的钱.
 
  综述:不建议有大额存款的人开建行的电子银行.如果有开,看紧你的电脑,也要看紧你的口令卡,还要关心你自己的余额.
 
  这里再解释一下,工行和建行对钓鱼网站的防御能力的区别.工行有一个预留信息,这个信息只有你自己知道.所以你登陆钓鱼网站,钓鱼网站无法提供你的预留信息,那么这一步上能够避免细心的用户被盗.同时,在使用口令卡过程时候,钓鱼网站最多只能获得工行口令卡里面某两个框框的3位加3位的密码,而盗窃团伙即使拿到利用盗窃到的账号密码到真工行上时候,由于只有随机两个框的密码,正常情况下都不能符合工行的需要验证的密码框位置.所以钓鱼网站无法窃取工行账户的钱.
 
  但是建行就不一样了,首先没有预留信息.除非你从自己余额上知道自己登陆错误,否则很难发现你错登陆了钓鱼网站.然后盗窃团伙窃取到你的口令卡,直接就可以在真实建行上使用了.这个区别就是工行的口令卡是要随机取两个方块的密码组合起来,而建行就是直接依据固定顺序,没有随机.
 
  我自己现在对建行卡的态度就是,如果超过一定额度,立刻就转到其他银行卡上.而且我估计,未来建行还会发生大额存款丢失的事件.


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们