鉴于许多用户询问“网上银行安全吗?”的同一个问题, WoSign 作为国内领先的信息安全服务提供商有必要客观地正面回答此问题,为此,我们组织技术人员在线访问各大银行的网站做了一个实际调查(上网环境: Windows XP, IE7 浏览器)。
从调查结果可以看出,所有网银系统都采用了 SSL证书加密技术,而且大多数都采用了客户端证书。对于大众版(普及版)的登录,一般也采用了安全密码控件来防止用户在输入密码时被间谍软件非法截获;而对于专业版一般都使用客户端数字证书来实现强身份认证,并且一般都支持 USB Key 硬件数字证书方式。可以说,采用了以上技术措施的网银系统还是比较安全的。
但我们也发现了一些问题,仍然有需要改进之处,具体有:
(1) 使用自签证书不可取,有些自签证书居然是 20 年有效期,而且没有吊销列表,这非常不安全。为何 VeriSign SSL 证书只有 3 年,业界一般不会超过 5 年,只要是考虑到 SSL 证书密钥的安全(短期内不会被破解,而20年就不能保证了);
(2) 对于采用 CFCA 数字证书的系统,主要问题是对于一般用户来讲,如果没有安装其根证书,则会被 IE 浏览器所阻止,特别是密码安全控件会阻止运行(等同于没有数字签名),这是一个不能忽视的问题;
(3) 考虑到网银系统的用户使用的操作系统和浏览器版本各种各样,其 SSL证书一定要支持 SGC 强制 128 位加密技术,否则如果用户使用低版本浏览器的话,可能只能实现 40 为或 56 位的加密,而破译 40 位加密只需几秒钟, 56 位加密也只需几天时间。所以,部署 不 支持强制 128 位加密技术的 SSL 证书也是非常不安全的,而且还容易让用户误以为有 SSL 证书就安全了。建议网银系统选购 VeriSign 原版 SSL 证书 Secure Site Pro( 强制 128 位加密 ),推荐选购同样支持强制 128 位加密技术的 WoSign SGC超真SSL 证书;
(4) 密码安全控件技术被公认为保护在线用户输入密码安全的有效手段之一,目前已经得到各种系统的普遍应用,此安全控件的作用是获得键盘的控制权,使得用户输入的密码信息不可能被电脑中可能有的间谍软件截取。建议还没有采用此技术的网银系统尽快采用;
(5) 由于大众版用户名/密码认证方式非常不安全,建议网银系统一律采用客户端证书 +USB Key 方式来实现强身份认证,确保网银帐户安全;
(6) 建议凡是要求用户下载安装的软件(如:专用客户端软件和各种 USB Key 的硬件驱动软件等) 都应该有数字签名,以防止被恶意软件篡改而使得用户同时不知不觉地安装了恶意软件,这点只有少数网银系统才做到了,值得引起高度重视。同时,请注意:即使安全控件中每一个ocx/dll文件都要先数字签名再打包成cab文件后再数字签名,否则个别文件的不签名也会影响软件的正常使用;
(7) 鉴于中国普通网民不容易记住银行的英文域名,这就让使用类似域名的假冒银行网站有可乘之机,建议各大银行的网银系统直接使用中文域名(如:中国银行.cn,中文.com 或 中文.cn),并为中文域名部署支持中文域名的 SSL证书。推荐选购全球独家支持中文域名和中文银行名称的 WoSign SGC超真SSL 证书。
请看我们的具体调查结果:
银行名称 |
是否部署
SSL证书
|
证书颁发
机构(CA) |
是否有密码
安全控件 |
是否支持
USB Key |
实际页面截图 |
中国银行 |
是 |
VeriSign
(北京分行)
自签证书
(广东分行) |
都没有 |
否
|
1. 自签证书不支持浏览器,被IE7自动阻止
2. 自签 SSL 证书不支持强制 128 位加密
3. 国内版 VeriSign SSL 证书 |
中国工商银行 |
是 |
VeriSign |
有 |
是 |
1.国内版 VeriSign SSL 证书
2.个人证书颁发CA情况不详
|
中国建设银行 |
是 |
VeriSign |
无 |
是 |
1.国内版 VeriSign SSL 证书
2.个人证书颁发CA情况不详
|
中国农业银行 |
是 |
自签证书 |
有
(但使用
自签证书) |
否 |
1. 无论是 SSL证书还是代码签名证书都是自签证书,都会被 IE 阻止浏览和阻止控件下载运行(如果用户没有安装其根证书)
2. SSL 证书不支持强制 128 位加密 |
招商银行 |
是 |
VeriSign |
有
(专用客户端软件 ) |
是 |
1. 国内版 VeriSign SSL 证书
2. 个别.OCX文件没有数字签名而会影响使用 |
中国光大银行 |
是 |
VeriSign
CFCA
|
无 |
是 |
1. CFCA 的SSL证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. CFCA 的 SSL证书不支持强制 128 位加密 |
中国民生银行 |
是 |
CFCA |
有 (CFAC 颁发的代码签名证书 ) |
否 |
1. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止浏览和阻止控件下载运行
2. SSL 证书不支持强制 128 位加密 |
中信银行 |
是 |
VeriSign
CFCA |
有 |
是 |
CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止浏览和阻止控件下载运行 |
交通银行 |
是 |
VeriSign |
有 |
是 |
1.国内版 VeriSign SSL 证书
2.个人证书颁发CA情况不详
|
兴业银行 |
是 |
VeriSign
CFCA
|
无 |
是 |
1. 国内版 VeriSign SSL证书,并且不支持 强制 128 位加密
2. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止
3. CFCA 的 SSL证书不支持强制 128 位加密 |
浦东发展银行 |
是 |
CFCA |
无 |
否 |
1. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止
2. CFCA 的 SSL证书不支持强制 128 位加密 |
华夏银行 |
是 |
VeriSign
CFCA |
有 (CFAC 颁发的代码签名证书 )
|
否 |
1. 国内版 VeriSign SSL 证书,并且使用 IP 地址而造成域名不匹配而被 IE 阻止
2. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止浏览和阻止控件下载运行
3. CFCA 的 SSL证书不支持强制 128 位加密 |
深圳发展银行 |
是 |
CFCA |
有 (CFAC 颁发的代码签名证书 )
|
否 |
1. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止浏览和阻止控件下载运行
2. CFCA 的 SSL证书不支持强制 128 位加密 |
广东发展银行 |
是 |
CFCA |
无 |
否 |
1. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. CFCA 的 SSL证书不支持强制 128 位加密 |
北京银行 |
是 |
VeriSign |
无 |
是 |
1.国内版 VeriSign SSL 证书
2.个人证书颁发CA情况不详
|
上海银行 |
有 |
CFCA |
有 (CFAC 颁发的代码签名证书 ) |
否 |
1. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止浏览和阻止控件下载运行
2. CFCA 的 SSL证书不支持强制 128 位加密 |
南京银行 |
有 |
VeriSign
CFCA |
有,但没有数字签名 |
是 |
1. 国内版 VeriSign SSL证书,并且不支持 强制 128 位加密
2. 没有数字签名的控件直接被浏览器阻止
3. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行 |
宁波银行 |
有 |
CFCA |
无 |
否 |
1. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. CFCA 的 SSL证书不支持强制 128 位加密 |
深圳商业银行 |
有 |
WoSign
CFCA
|
有 |
无 |
1.原先使用 CFCA 证书,已经换成 WoSign 支持强制 128 位加密的 SSL证书和代码签名证书
2.CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
|
WoSign 作为国内领先的信息安全服务提供商愿意免费为各大银行提供数字证书相关的技术咨询和技术支持,并愿意优惠提供各种数字证书产品
( 包括 VeriSign 原版 SSL证书 )
,以便各银行能尽快及时改进不足,完善其信息安全保护系统,让广大网银用户真正放心使用。欢迎尽快联系我们。
|
