互聯(lián)網(wǎng)的高速發(fā)展，推動(dòng)甚至改變了一些行業(yè)的經(jīng)營(yíng)模式，銀行就是其中一個(gè)非常典型的范例。隨著電商的發(fā)展，網(wǎng)銀在人們?nèi)粘Ｉ钪械膽?yīng)用頻次也越來越高，在某些交易行為上甚至超越了實(shí)體銀行柜臺(tái)的使用頻率。中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)2006年3月1日施行的《電子銀行業(yè)務(wù)管理辦法》將電子銀行業(yè)務(wù)定義為：商業(yè)銀行等銀行業(yè)金融機(jī)構(gòu)利用面向社會(huì)公眾開放的通訊通道或開放型公眾網(wǎng)絡(luò)，以及銀行為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò)，向客戶提供的銀行服務(wù)。隨著電子銀行的逐步發(fā)展，也有不少犯罪分子把目光鎖定在了網(wǎng)銀上，給用戶造成了不小的損失。

在這樣的背景下，銀行方面也推出了不少安全措施幫助用戶捍衛(wèi)財(cái)產(chǎn)安全。在選擇這些安全措施時(shí)，用戶往往只單方面聽從銀行柜員的介紹，自己對(duì)各種“Key”并沒有太多的概念及理解。面對(duì)銀行針對(duì)個(gè)人和企業(yè)用戶提供的各種硬件安全產(chǎn)品，以及在使用網(wǎng)銀時(shí)的各種軟件安全產(chǎn)品，用戶應(yīng)該如何選擇？哪些產(chǎn)品最適合自己？哪種安全解決方案最方便易用？下面CHIP就將針對(duì)市面上種類繁多的“Key”，為大家進(jìn)行詳細(xì)的介紹，以幫助用戶更好地選擇最適合自己的安全措施。

“密?？ā睍r(shí)代

相信不少人聽到“密保卡”的時(shí)候，并不能很快地將它和網(wǎng)銀聯(lián)系在一起?？峙露鄶?shù)人對(duì)密?？ǖ恼J(rèn)知，其實(shí)來自于網(wǎng)絡(luò)游戲密?？ɑ蚴荙Q密?？??！懊鼙？ā币步小皠?dòng)態(tài)口令卡”，動(dòng)態(tài)口令是根據(jù)特定算法生成不可預(yù)測(cè)的隨機(jī)數(shù)字組合，每個(gè)口令只能使用一次。網(wǎng)銀所采用的密?？ê途W(wǎng)游及QQ所用的基本相同，這種卡片背后通常是80組數(shù)字?jǐn)?shù)字串，由8行數(shù)字和10列英文字母對(duì)應(yīng)組成，每張卡具有唯一的序列號(hào)，和用戶的銀行賬戶綁定。用戶在使用網(wǎng)銀時(shí)，登錄用戶名密碼后會(huì)出現(xiàn)類似“A7、E4、I3”的提示，用戶根據(jù)自己所持卡片將所對(duì)應(yīng)的數(shù)字填入即可驗(yàn)證賬戶安全。

動(dòng)態(tài)口令卡的優(yōu)點(diǎn)在于方便靈活，讓用戶擺脫了記憶復(fù)雜密碼的流程，只需要按照提示填寫即可通過驗(yàn)證。其缺點(diǎn)在于每個(gè)數(shù)字只能使用一次，所以一般卡片都會(huì)設(shè)置有效期，而需要定期更換的弊端也給使用者造成了不小的困擾。另外，與密?？ㄍ诔霈F(xiàn)的還有一種文件證書產(chǎn)品，在硬件安全驗(yàn)證設(shè)備發(fā)展還并不那么完善的時(shí)代，文件證書一度占據(jù)了主流地位，但是其最大的風(fēng)險(xiǎn)是私鑰裝載設(shè)備的被盜，一旦電腦出現(xiàn)問題就有可能危及到用戶銀行賬戶的財(cái)產(chǎn)安全。加之文件證書需要定時(shí)更新、多平臺(tái)使用時(shí)需要手動(dòng)復(fù)制證書，所以這種方式也逐漸被淘汰。隨著更多更方便快捷的安全工具應(yīng)運(yùn)而生，動(dòng)態(tài)口令卡和文件證書都逐漸退出了主流安全工具的舞臺(tái)。

“動(dòng)態(tài)口令牌”和“USB Key”

繼動(dòng)態(tài)口令卡之后，市場(chǎng)上又出現(xiàn)了動(dòng)態(tài)口令牌（OTP，One time password）。動(dòng)態(tài)口令牌其實(shí)是動(dòng)態(tài)口令卡的硬件升級(jí)版，動(dòng)態(tài)口令是根據(jù)特定算法生成不可預(yù)測(cè)的隨機(jī)數(shù)字組合，每60s隨機(jī)生成一個(gè)動(dòng)態(tài)口令，每個(gè)口令只能使用一次。而動(dòng)態(tài)口令牌則是用來生成動(dòng)態(tài)口令的終端設(shè)備，也稱動(dòng)態(tài)令牌，有硬件令牌和軟件令牌兩種形式。硬件令牌是一種全封閉的硬件設(shè)備，內(nèi)置電池，每個(gè)硬件令牌也有單獨(dú)的序列號(hào)以便和用戶的賬號(hào)綁定，除此以外還標(biāo)明該設(shè)備的有效期，以便在電池失效前更換新的硬件令牌。相比之前的動(dòng)態(tài)口令卡，硬件令牌的安全系數(shù)更高，同時(shí)在很大程度上減少了頻繁換卡的繁瑣步驟，每隔60s更換一次的一次性數(shù)字串也提高了安全性，減少了用戶的風(fēng)險(xiǎn)。

硬件令牌一般包括3種形式：基于時(shí)間同步、基于事件同步及挑戰(zhàn)、應(yīng)答方式，當(dāng)前主流的硬件令牌都是基于時(shí)間同步的。目前包括中國(guó)銀行在內(nèi)的多家銀行都輔助增加了“手機(jī)驗(yàn)證碼+動(dòng)態(tài)口令牌”的驗(yàn)證服務(wù)，用戶只有輸入正確的短信驗(yàn)證碼和動(dòng)態(tài)數(shù)字串時(shí)才能進(jìn)行網(wǎng)銀驗(yàn)證，增加了網(wǎng)銀的安全性，也免去了網(wǎng)銀用戶名密碼及硬件令牌同時(shí)丟失所造成的安全隱患。另外，由于硬件動(dòng)態(tài)令牌的封閉性，所以這種安全硬件被更多的企業(yè)用戶所選擇。作為對(duì)企業(yè)系統(tǒng)安全性的要求，企業(yè)更愿意選擇和搭載與企業(yè)系統(tǒng)沒有硬件接觸的動(dòng)態(tài)口令牌，以確保企業(yè)系統(tǒng)的安全性。

另外一種軟件令牌又稱為手機(jī)令牌，形式和硬件令牌相同，只不過沒有實(shí)體的硬件設(shè)備，而是變?yōu)橐豢預(yù)pp供用戶安裝在手機(jī)上使用。這樣不僅更加方便隨身攜帶，也更加節(jié)約成本，并且比硬件令牌更加適應(yīng)移動(dòng)互聯(lián)網(wǎng)的發(fā)展。手機(jī)令牌在iOS、Android、Symbian和Windows Phone上都有相應(yīng)的版本，減少了動(dòng)態(tài)密碼運(yùn)營(yíng)和管理成本。

與動(dòng)態(tài)口令牌不同，另一種安全設(shè)備是個(gè)人用戶更加慣用的“USB Key” （硬件數(shù)字證書載體）。它是一種USB接口的硬件設(shè)備，內(nèi)置單片機(jī)或智能卡芯片，有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶的私鑰以及數(shù)字證書，利用USB Key內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了用戶認(rèn)證的安全性。雖然各家銀行推出的設(shè)備名稱并不相同（譬如工商銀行叫“U盾”、招商銀行叫“優(yōu)Key”），但是其本質(zhì)都是USB Key產(chǎn)品。由于USB Key即插即用的特點(diǎn)，使得這款產(chǎn)品受到了更多個(gè)人用戶的青睞。與動(dòng)態(tài)口令牌相同，USB Key也有獨(dú)立的編號(hào)和用戶的帳戶綁定，至于內(nèi)置數(shù)字證書服務(wù)期的限制，各家銀行會(huì)在到期前提示用戶進(jìn)行證書更新及延長(zhǎng)證書的服務(wù)期。由于這款設(shè)備可以和電腦連接，所以不需要內(nèi)置電池，硬件本身也就不存在使用期限的限制，更能節(jié)約成本。USB Key需要安裝驅(qū)動(dòng)軟件才能正常使用，而驅(qū)動(dòng)軟件目前只能安裝在Windows系統(tǒng)下，蘋果OSX用戶最好不要選擇這種安全工具。與此同時(shí)，為了更好地適應(yīng)各種平臺(tái)，各家銀行也在不斷地更新自己的安全工具。

第二代和第三代

為了更好適應(yīng)不同的平臺(tái)載體，加之移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展，用戶對(duì)于手機(jī)網(wǎng)銀的安全需求也在逐步增加，銀行方面也在不斷更新升級(jí)自己的安全工具供用戶選擇。就升級(jí)類型而言，可以分為硬件升級(jí)和軟件升級(jí)兩種，其中硬件升級(jí)就是前文所提到的動(dòng)態(tài)令牌和USB Key兩方面。

由于動(dòng)態(tài)口令牌本身完全封閉，并不會(huì)和使用載體產(chǎn)生硬件設(shè)備的交流，所以其本身就具有極好的跨平臺(tái)特性，在普通的PC、平板電腦和手機(jī)上都能靈活使用，所以更新幅度較小。但動(dòng)態(tài)口令牌在靈活便攜之余，也有容易丟失的特性，會(huì)給用戶造成一定的安全隱患，于是工商銀行近期推出了“工銀電子密碼器”，這款產(chǎn)品外形更像迷你版本的計(jì)算器，設(shè)有常見的數(shù)字按鍵及“開關(guān)、確認(rèn)和刪除”按鈕，試用之初需要對(duì)硬件設(shè)備進(jìn)行激活并設(shè)置開機(jī)密碼，在輸入正確的密碼后才能查看隨機(jī)字符串，為動(dòng)態(tài)口令牌增加了新的安全保障，也能免除一部分丟失后的安全隱患。

相較于動(dòng)態(tài)口令牌產(chǎn)品，USB Key更新的幅度更大，產(chǎn)品線也更豐富。被稱為“USB Key二代”的產(chǎn)品增加了LCD顯示屏和確認(rèn)取消按鈕，不僅能夠?qū)崿F(xiàn)即插即用，而且還能在支付的同時(shí)，通過設(shè)備自帶的LCD屏幕顯示正在支付訂單的內(nèi)容及價(jià)格信息，通過操作設(shè)備上的確認(rèn)和取消按鍵來對(duì)訂單進(jìn)行操作。這種可視化的設(shè)計(jì)無疑進(jìn)一步增加了安全性，能夠更好地保護(hù)用戶財(cái)產(chǎn)安全。美中不足的是，用戶仍然需要安裝兼容Windows系統(tǒng)的驅(qū)動(dòng)軟件才能使用這款設(shè)備，并不能更好地適應(yīng)更多平臺(tái)。

于是乎，“USB Key三代”產(chǎn)品很快應(yīng)運(yùn)而生。多家銀行推出了配有3.5mm音頻輸出口的“聲波驗(yàn)證”設(shè)備，不再通過USB進(jìn)行加密信息傳輸，而是改為音頻傳輸。Windows用戶仍然可以像往常一樣通過電腦客戶端來使用這款USB Key，而蘋果OSX用戶在插入設(shè)備后可選擇直接通過音頻傳輸，省去了安裝驅(qū)動(dòng)軟件的步驟，更加方便快捷。由于3.5mm端口是手機(jī)的“標(biāo)配”，所以這款設(shè)備也能很好地適應(yīng)手機(jī)移動(dòng)支付等多種平臺(tái)，用戶在手機(jī)上安裝銀行提供的iOS和Android版本App，通過3.5mm端口插入設(shè)備即可登陸使用。

而之前提到的軟件升級(jí)，也是銀行為了適應(yīng)多平臺(tái)移動(dòng)支付而提供的升級(jí)服務(wù)。從軟件種類來看，可以分為系統(tǒng)安裝的驅(qū)動(dòng)程序及瀏覽器安全控件兩種。

就電腦操作系統(tǒng)而言，大體分為微軟Windows和蘋果OSX用戶兩類，由于大部分產(chǎn)品的驅(qū)動(dòng)程序都是基于Windows系統(tǒng)開發(fā)，所以很長(zhǎng)一段時(shí)間以來，蘋果用戶在網(wǎng)銀支付上都存在不小的障礙。根據(jù)我國(guó)法律規(guī)定，網(wǎng)銀系統(tǒng)基于ActiveX認(rèn)證標(biāo)準(zhǔn)建立，這就從根本上阻止了Mac OS/iOS、Android、Linux等“非主流”平臺(tái)獲得基于直插硬件的網(wǎng)銀安全認(rèn)證能力，這也是目前只有Windows平臺(tái)能夠做到通過USB Key直插驗(yàn)證的原因。由于目前銀行還不能支持在OSX上運(yùn)行的網(wǎng)銀程序，所以建議蘋果用戶選擇動(dòng)態(tài)口令牌的安全設(shè)備，或者選擇帶有3.5mm接口可進(jìn)行聲波驗(yàn)證的USB Key3代產(chǎn)品。隨著人們對(duì)移動(dòng)辦公和生活的需求越來越高，除了電腦操作系統(tǒng)以外，手機(jī)網(wǎng)銀App也是銀行著重發(fā)展的一大方向。各家銀行也都推出了可運(yùn)行在iOS和Android系統(tǒng)上的手機(jī)App，可以在手機(jī)上享受與電腦客戶端相同的網(wǎng)銀服務(wù)，硬件設(shè)備的跨平臺(tái)應(yīng)用也可以無縫對(duì)接。

除了在電腦客戶端使用網(wǎng)銀之外，由電商購(gòu)物網(wǎng)站付款頁(yè)面直接跳轉(zhuǎn)至網(wǎng)銀頁(yè)面，是目前更加常見的付款模式，但這也對(duì)瀏覽器和相應(yīng)的安全控件兼容性提出了更高要求。同Windows系統(tǒng)的道理一樣，目前市面上的銀行瀏覽器安全控件都是基于IE開發(fā)而成，其他基于IE內(nèi)核的瀏覽器也都能很好地兼容銀行安全控件。即使是像Chrome和Firefox這類非IE內(nèi)核的瀏覽器，銀行也逐步推出了針對(duì)這些常用瀏覽器的安全控件。因此從使用網(wǎng)頁(yè)版網(wǎng)銀的安全控件上來看，目前已經(jīng)基本不存在什么障礙，用戶能夠在各種平臺(tái)和瀏覽器之間隨意轉(zhuǎn)換使用，甚至還有銀行推出了網(wǎng)銀專用瀏覽器供用戶選擇，但是其本質(zhì)仍然不變。需要注意的是，IE10的網(wǎng)銀控件兼容性不佳，用戶在使用時(shí)需要注意甄別瀏覽器，并且及時(shí)更新瀏覽器版本。

未來的更多可能

目前銀行所提供的網(wǎng)銀安全設(shè)備多為免費(fèi)，這些安全芯片的供應(yīng)商多為捷德和上?；ヂ?lián)等固定幾家公司，銀行再根據(jù)不同的加密規(guī)則來選擇相應(yīng)的安全芯片供應(yīng)商。隨著超級(jí)網(wǎng)銀的出現(xiàn)，用戶使用網(wǎng)銀的頻率大大增加，也培養(yǎng)了用戶習(xí)慣，雖然目前設(shè)備的費(fèi)用都由銀行負(fù)擔(dān)，但是從長(zhǎng)遠(yuǎn)發(fā)展來看，就像即將收費(fèi)的超級(jí)網(wǎng)銀一樣，安全設(shè)備重回收費(fèi)模式也是極有可能的。而隨著移動(dòng)互聯(lián)網(wǎng)興起的手機(jī)銀行和移動(dòng)支付，也刺激了新型硬件設(shè)備的產(chǎn)生。隨著蘋果iPhone配備了指紋掃描功能，USB Key也籌備推出指紋識(shí)別版本，驗(yàn)證方式更加方便，安全程度也將更高。這些都是新興網(wǎng)銀平臺(tái)所帶來的變化。

除了以上提到的多重變化外，利用硬件進(jìn)行識(shí)別也是安全認(rèn)證的一項(xiàng)趨勢(shì)。相信不少用戶都已經(jīng)體驗(yàn)過QQ異地登陸驗(yàn)證、支付寶登陸手機(jī)驗(yàn)證碼等服務(wù)，這些都是通過硬件進(jìn)行驗(yàn)證的實(shí)例。從安全驗(yàn)證的根本意義來看，任何形式的驗(yàn)證都是向銀行系統(tǒng)證明用戶自身是帳戶和資金所屬者的過程，伴隨著信息科技的發(fā)展，安全驗(yàn)證的形式也經(jīng)歷了翻天覆地的變化。隨著芯片卡的普及，帶有NFC功能的銀行卡或許將成為未來驗(yàn)證的新趨勢(shì)。但是從密碼學(xué)的角度來看，Key的安全等級(jí)較高，可靠性和平臺(tái)兼容性也比其他驗(yàn)證方式更加出色，因此仍然會(huì)是未來一段時(shí)間的主流安全驗(yàn)證方式。每種驗(yàn)證方式都有自己的優(yōu)缺點(diǎn)，適用于不同的場(chǎng)所和平臺(tái)，使用者要根據(jù)自己的實(shí)際需求，再結(jié)合使用環(huán)境對(duì)驗(yàn)證方式進(jìn)行選擇，才能達(dá)到最理想的安全保障效果。