电子渠道的用户安全风险
通过电子渠道提供交易面临的主要安全威胁包括用户身份的假冒、电子欺诈、中间人攻击等,这些攻击主要针对如电子银行、网上证券、网上支付等电子交易用于谋取非法利益。
现有的主要安全措施
一些金融机构使用基于PKI技术的USBKEY、文件证书来提供身份认证和交易签名。此种方法的优点是有效防范简单的远程攻击,缺点是用户使用不方便, 只能用于网上交易应用。另外,对于复杂的中间人攻击,需要具有显示和确认按键的新一代USBKEY,操作复杂,所谓纯无软的USBKEY仅是宣传的说法。 由于USBKEY作为外设与联网的终端设备存在接口连接,一旦存在的代码缺陷或后门被恶意利用,带来的损失难以估量。
为了防范日益增加的中间人攻击,金融机构采用短信方式帮助用户确认交易内容,以防范中间人攻击。这种方式的优点是安全性较高,缺点是增加用户使用复杂度、实时性差、涉及额外的通讯费用。
结合国内外应用的实际情况,我们认为:电子渠道的安全保护是一个考虑应用安全性和适应性、用户方便性、总体运营成本的综合平衡。用户的易用性应作为首先 考虑的因素,其次是适应多种电子渠道的要求,然后是为应用提供必要的保护。针对不同应用及用户的安全要求,应综合使用多种安全手段,包括如短信交易确认、 新一代UBSKEY等。
宏基恒信的解决方案
作为专业的电子渠道安全产品供应商,宏基恒信的安全方案适用于包括网上交易、手机交易、电话渠道、ATM/POS等多种电子渠道,用户不需安装任何软件、操作便利,同时为高风险的交易应用安全提供可靠的保证。
宏基恒信的电子渠道安全方案由用户终端设备、后端安全交易服务平台两部分构成,其中用户终端设备分为身份认证型和交易型两大类别,金融机构可以同时支持两种身份认证及交易鉴别的方式,由用户根据需要自行选择。
方式一:身份认证类终端+手机短信交易确认
身份认证类终端为每个用户唯一的动态令牌,每隔设定时间自动产生一个6到8位的动态口令,用户登录电子渠道应用时使用动态口令证明身份。在实施高风险交 易(如通过网银转出本人账户)时,后端安全交易服务平台根据交易内容计算仅对该用户及本次交易有效的交易确认码,由短信平台将交易内容及交易确认码发回给 用户,用户检验交易内容正确无误后,输入交易确认码及当次动态口令确认本次交易。
方式二:交易类终端
交易类终端为带有输入键盘、LCD显示屏的手持设备,除了提供动态令牌的动态口令功能外,还可输入交易内容,根据交易内容计算一次有效的交易确认码。在实 施高风险交易(如通过网银转出本人账户)时,用户仅需输入转入方帐号,(如果需要)转出金额,使用手持交易终端计算交易确认码,并在交易应用内输入交易确 认码即可。
客户收益
- 多渠道,可用于网上渠道、手机渠道、电话渠道、自助终端/ATM/POS等
- 易使用,免安装、易携带,用户接受度高,利于电子渠道业务推广
- 安全性高,有效防御木马、病毒、钓鱼、中间人攻击
- 总体拥有成本低,单终端支持多个电子渠道,客服工作量小
- 兼容性高,适用于多个国家和地区