电子银行到底安全吗? 用户该如何选择认证方式?

　　电子银行系列（一）

　　电子银行到底安全吗？用户该如何选择认证方式？

　　■ 上海浦东发展银行公司及投资银行总部 董颖

　　2005年以来，中国的电子银行进入了一个高速发展阶段，尤其是随着2006年外资银行的全面进入，更为中资银行电子银行的发展注入了一支强心剂，各家银行纷纷推出了各种新型的电子银行业务或功能，使得国内的电子银行进入了如火如荼的竞争时期。

　　目前，无论是个人还是企业对电子银行已经逐步从怀疑、拒绝发展到基本认可和接受，但是“电子银行到底安全吗？”仍是人们最为关心的问题。近期舆论对工行、建行等电子银行失窃案的报道更是让这个挥之不去的问题一直萦绕着电子银行用户们，使得人们在使用网银时依然带着一份忐忑。

　　面对电子银行安全的严峻考验，每家银行作为服务提供方均投入了重兵，集合各种资源、采取各种技术手段、设置层层关卡，尽最大努力竖起铜墙铁壁来为电子银行的发展保驾护航。

　　然而光有银行的工作还不够，作为电子银行的另一端——电子银行的用户，对于电子银行的安全而言，则是更为关键的。因为用户作为电子银行的使用者，在享用电子银行所带来的快捷、便利等优势的同时，其行为也将直接影响到电子银行的安全性；而且用户又是电子银行安全问题的直接承受者，所以要提及电子银行的安全，就必须与每个用户休戚相关。

　　那么，作为用户到底该如何选择安全认证方式呢？

　　首先，用户要了解电子银行的各种认证体系，这样才便于选择对自己更为安全、适合的方式。

　　目前，电子银行的认证体系大致包括两大类：一类为密码认证方式；一类为证书认证方式。

　　最常见的认证方式就是密码认证。银行一般对每个客户或账户都赋予两类密码:查询密码和交易密码。一般查询密码只能进行相应信息查询，而交易密码则可用来进行账户的支付等交易。而且如果用户连续3次输入错误的密码，银行一般都会自动锁定该客户或该账户，在经过其他的认证核实后，方可解锁再使用。此外，为了应对日益严重的木马病毒非法盗取密码的情况，一些银行开始使用动态密码，包括手机短信、口令卡、电子令牌等多种产生或传输方式；目前个人客户使用较为普遍的是手机短信接受动态密码的方式，公司客户则较常用口令卡来产生动态密码。在登陆和资金转账类交易时增加动态密码的验证，可在一定程度上更好地防范风险。有些银行还同步增加了图片校验码的验证机制，来防范非法用户猜测或暴力破解密码。在登陆和资金转账类交易时增加动态密码的验证，可在一定程度上更好地防范风险。有些银行还同步增加了图片校验码的验证机制，来防范非法用户猜测或暴力破解密码。

　　数字证书一直以来被视为网上银行的安全最佳解决方案，大多数银行的交易功能网银都采用了第三方权威机构(如中国金融认证中心CFCA）或自建的数字证书。数字证书作为互联网上用户身份的唯一合法证件，里面包含着用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。目前，银行提供的数字证书一般有两种：浏览器证书和移动证书。浏览器证书一般存放在电脑中；而移动证书则必须装载到形状类似于U盘的实物硬件USB KEY中，由于USB KEY内的证书文件只能读不能写,且由用户随身携带,因此更能有效防范包括“木马”病毒在内的诸多风险。

　　因此，每个用户应该根据自己的需求来确定更为合适的安全认证方式，从而选择银行及其电子银行的版本。比如：如果只有查询账户等情况的需求，那就只开通查询版的电子银行，而不要开通交易版的电子银行，这样即使丢失了密码也不会发生资金上的风险；如果需要使用交易版的电子银行，最好选择USK KEY存放移动证书的认证方式；如果选择的银行只有浏览器证书，则应在使用时将证书设置为“不能导出”，以防证书被病毒窃取；如果需要使用更为灵活、方便的密码方式，建议最好使用手机短信的动态密码认证方式。总之，选择适合自己且更为安全的认证方式是保障电子银行安全最为关键的前提。