本报讯 (实习生 何灵芝 记者 彭德倩)在线缴水电费、网上付款……与日常生活联系日益紧密的网上银行,其安全性如何得到更好保障?近日,复旦大学信息学院两名博士研究生就网银安全管理模型提出新思路,并已获得复旦金融创新项目基金资助。
去年底的一项调查显示,仍有相当数量的储户由于怀疑网银安全性而不使用网上银行。复旦大学信息学院博士研究生陈海光、张世乐由此萌发了开发一套网银安全模式的想法,并针对常见的几种网银安全问题对防护技术进行升级。
现象一:克隆页面“网络钓鱼”
下 药:统一界面简化识别
“网络钓鱼”是一种目前较常见的网银安全陷阱。由于现在各家银行的网银操作界面和操作步骤五花八门,用户往往对于网址并不熟悉。别有用心之人趁机浑水摸鱼,仿造某家银行的网上银行界面,用相似的URL地址“钓鱼上钩”,骗取用户信任后让其输入账号和密码。
陈海光指出,网银安全管理模型的中心思路是建立一个网银安全中心,改变目前不同银行各自为战的局面,负责整合管理整个银行系统的网银安全问题,有效遏制这一风险。整合后的安全中心可采取唯一的界面和统一操作方式,不但操作简化,识别起来也更容易。
现象二:账号遭遇恶意攻击
下 药:检测系统自动报警
网银用户的账号若不慎泄露,居心叵测者往往可能采取“穷举”方式攻击服务器,即猜测可能的密码不断测试账号,直至测试登陆成功。
张世乐演示了他们专门为挫败“穷举攻击”而设计的模型。按照预先设定的“错误密码次数区间”,系统认为连续5次输入错误密码是一般错误,超过 10次系统则显示“危险曲线”开始不断走高,一旦次数达到预先设定的足以确认其为恶意攻击的区间,系统就会自动发出报警声或延长响应时间。攻击者在第 100次尝试错误密码后,系统会“故意”在6000个小时才给出反应,迫使对方不得不放弃攻击。
现象三:“李鬼”顶替冒名登录
下 药:引入指纹识别系统
网银用户的电脑被偷偷植入类似“网银大盗”这样的木马程序,或由于用户安全防范意识不强,在公用计算机上使用网上银行,都可能造成账号、密码、数字证书等机密资料落入他人之手。“李鬼”们就能轻易突破传统的登陆关卡,神不知鬼不觉地卷走用户账户里的钱。
针对这一薄弱环节,两位博士生将指纹识别系统引入网银安全模式。用户只需去银行扫描指纹建立个人指纹档案,再领取一个固化有指纹识别系统的优盘和指纹采集器,回家安装在电脑上便能使用。配合传统的密码登录一并使用,能够大大降低他人冒名侵入账户的风险。