招行、工行、建行、兴业、恒生电子银行安全性比较

综述:不建议有大额存款的人开建行的电子银行.如果有开,看紧你的电脑,也要看紧你的口令卡,还要关心你自己的余额.

这里再解释一下,工行和建行对钓鱼网站的防御能力的区别.工行有一个预留信息,这个信息只有你自己知道.所以你登陆钓鱼网站,钓鱼网站无法提供你的预留信息,那么这一步上能够避免细心的用户被盗.同时,在使用口令卡过程时候,钓鱼网站最多只能获得工行口令卡里面某两个框框的3位加3位的密码,而盗窃团伙即使拿到利用盗窃到的账号密码到真工行上时候,由于只有随机两个框的密码,正常情况下都不能符合工行的需要验证的密码框位置.所以钓鱼网站无法窃取工行账户的钱.

但是建行就不一样了,首先没有预留信息.除非你从自己余额上知道自己登陆错误,否则很难发现你错登陆了钓鱼网站.然后盗窃团伙窃取到你的口令卡,直接就可以在真实建行上使用了.这个区别就是工行的口令卡是要随机取两个方块的密码组合起来,而建行就是直接依据固定顺序,没有随机.

我自己现在对建行卡的态度就是,如果超过一定额度,立刻就转到其他银行卡上.而且我估计,未来建行还会发生大额存款丢失的事件.


兴业银行:最安全的不是手机

兴业银行在电子银行里面是“新兵”.估计该行的用户群和使用范围同招行、工行、建行比都少一个数量级都不止.

虽然兴业提供文件证书作为安全模式,但是和所有大银行不同的是,文件证书必须交20元年费.所以到现在为止,我还没有亲身试用兴业银行带证书模式的服务,我体验到的模式是兴业通过手机短信来确认最后密码.具体如下:用查询号码登陆,转账时候,输入取款密码,同时兴业会发送一条短信到用户手机上,这个短信里面包含了一次性的验证密码.不少人认为同手机关联的模式是最安全的,其实不然,我专门咨询过一个地级市的移动工作人员,问他们的技术人员能否看到用户的短信,对方给我一个非常肯定的答复.如果一个地市级别(不是省级)的移动工作人员就能看到所在区域某手机的短信,这个安全性立刻大大打折扣.兴业银行在转资金时候,还要有取款密码,这一点上,比工行、建行要好.(工行、建行如果有口令卡,转款时候可以不要原来设置的取款密码)

兴业电子银行最大的破绽我个人认为集中在手机上.因为丢手机,或者说,盗窃团伙偷手机还是比较轻松的,对于gsm还可以直接复制手机卡!就是说,盗窃团伙在定准一个人的兴业e卡电子银行,在套取到查询密码后和取现密码(这个密码因为用的少,安全性相对较高),只要有几秒钟控制用户的手机,或者能够复制用户的gsm手机,或者能够进入移动的网关,看到手机的短信记录,下面就可以成功盗走所有现金.

综述:兴业电子银行,看紧取款密码比看紧手机更重要.因为手机时刻都有可能被盗阅读,甚至gsm手机很容易被监听.建议用户使用兴业电子银行时候,每日的转账上限还是适当保守一点为好.


恒生银行:外资盛誉下的弱安全性

恒生是港资.我只是替别人操作恒生的账户.恒生提供web版本.如果只从投资买卖股票方面考量,恒生的安全性最低,只要用户名密码正确,就可以操作买卖港股.甚至没有取款密码做第二次校验保障.

但是恒生对于存款5000元以上的用户,如果你愿意申请,可以免费获得一个数字口令密码器(恒生起的名字是“保安编码器”).这个编码器同我们国内最流行的 u盾(ukey)不一样,它不是usb插口,而是物理上完全独立电脑,只是提供一个按钮,按钮上有数字.每次按钮,可以活得随机的数据.(具体介绍地址: http://www.hangseng.com/hsb/chi/onl/sec/nsm/index.html)可以说,这个“保安编码器”最基本的原理同工行的口令卡一致,比口令卡优势就是可以使用无数次,比口令卡劣势就是,如果窃贼直接偷偷按了一下“保安编码器”的按钮,然后把随机数(保安编码数)直接抄走,用户根本不知道.(口令卡因为有刮开这个过程,所以,相对容易觉察是否有人盗刮).

我认为这个模式是不安全的.因为不能确保盗号能够被发现.

原来一直宣传外资银行如何好,假定不考虑服务质量,我个人觉的外资银行(以恒生银行标准来看)的电子银行安全性远不如国内的招行和工行,兴业.安全系数同建行差不多.唯一可取的是愿意免费提供成本较高的“保安编码器”,但是恒生也只对存款达到一定额度的用户才提供.

我个人并不认为,恒生银行如果进入大陆发展,他的电子银行并有什么优势可言.(暂定不考量其他功能和其他优势)


最后讨论一下现在认可度比较高的u盾(或者u key).【usb口的电子银行移动证书】

如果有ukey(u盾),在资金发生流动时候,必须插入这个硬件,同时搭配密码.(招行还需要登陆密码,取款密码,加ukey,比其他行多一个取款密码,安全性最高).同现在广泛应用的口令证书相比,安全性更高,没有口令卡的盗刮、影印问题.而且一旦丢失,用户很容易发觉.同时不像手机,有人接触ukey,估计用户警惕性要比接触手机要高.(我看到开会时候,大家都在互相玩对方手机,那时候,手机短信密码安全性我想大打折扣).Ukey(u盾)最大的问题在于成本,一个需要70元左右,这个价格导致推广起来困难重重.

【关于移动电子钥匙的文章,建议阅读“月光博客”的相关博文】

综述,如果你有很多银行账户需要打理,建议,你存款最多的银行,还是掏钱买一个ukey(u盾)为好.要不,真的大热天跑一次银行,成本不会比70元少多少.

最后说一个题外话:国内工行(或者建行)在电子银行被疯狂盗窃情况下,利用口令卡,并付之实时,确实成本低廉.而且该模式是同电脑硬件完全隔离,安全性大大提高.口令卡是工行(或者建行)对国内电子银行的最大贡献.