.....
先看看PC上有哪些防范手段。
前文提到了用户名/密码、动态口令、U盾、软证书等多种安全机制。
除了二代U盾和带输入的动态口令卡可以保障钱丢不了,二代U盾的安全性应该是99.9999999%,剩下的就是U盾的xss漏洞了。。。。。
这里面大部分机制,还需要结合一些其它手段,才能更好的发挥作用。其实就是正道pk黑阔,只能说尽力抵达!!!
比如银行在向用户提供基本服务如账户信息查询等方便只需要基本的用户名/密码机制。
我们知道键盘输入密码可能被木马窃取,造成安全隐患。那么就可以结合windows平台的实际情况,采取一些增强手段。
其实这儿的增强更多的是来自于对Windows操作系统的风险和安全的理解。
大部分的银行也是和一些安全厂商合作,推出了一些安全机制。如下图的工行安全控件。
其它的一些可以分类的如:
1 、动态软键盘
顾名思义,动态软键盘就是不断变化的软键盘,软键盘中字母的位置是动态变化的。动态软键盘有下列特点:
1)软键盘不是键盘,因此软键盘可以防范各类针对键盘的攻击手段,如键盘过滤驱动;
2)动态软键盘的好处在于:使用动态软键盘输入密码时,是使用鼠标直接在计算机屏幕上点击密码,键盘监控程序无法监测到用户的密码输入;而且软键盘上的数字是动态显示的,每次登录时数字在软键盘上的位置显示是不同的,可以避免输入时密码被旁边的人看到。
2、安全控件
目前大部分银行向非证书认证用户提供的安全手段都是安装安全控件,不同之处只是控件实现方式各有特色。这种安全技术尽可能防止键盘/消息钩子。
3、防钓鱼,无论你怎么防范,如果安全依赖于口令这样的机制,不可避免的会遇到被钓鱼的风险。
1)预留信息验证
帮助用户有效识别银行网站、防范不法分子利用假银行网站进行网上诈骗的一项服务。
用户可以在银行预先记录一段文字(即“预留信息”),当登录工行个人网上银行、手机银行(WAP)、在购物网站上进行支付或在线签订委托缴费协议时,网页上会自动显示用户预留的信息,以便您验证是否为真实的网站。
2) ...钓鱼网站黑名单
3)登录记录
登录后,网上银行欢迎页面将显示上次“登录记录”,便于核对实际登录情况,如发现异常可及时采取措施。
4)开通短信提醒
定制网银登录、转账及重要信息修改提醒服务.
4、图形验证码
防止自动执行,图形验证码现在演进很快,主要是图像识别的技术不断发展。图形验证码也有商业模式了,和广告结合到一起了。
5、浓重的笔墨:赞一下以360为代表的安全厂商,虽然360当前有很多争议。
但不可否认,这些安全企业推出的产品(如360安全卫士)对保障支付环节里面针对平台(Windows)部分起了很重要的作用。
支付企业很难有精力对Windows这样一个庞大的系统存在的漏洞进行长期的跟踪以及给出相应的应对。更多的依靠360等企业不断的封堵系统的漏洞带来的安全风险。
当然,这几年windows7的安全也在不断演进。用户还是不要裸奔,第三方支付的安全对桌面的安全类产品有很大的依赖。
这也为后续介绍手机支付宝安全机制埋下伏笔,那就是需要对系统深刻的理解。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
