如果說,三年前在中國,使用網上銀行還象談論最新的好萊塢大片一樣是一種時尚。那么三年后的今天,起碼在城市,穿著拖鞋坐在家里,一手端著咖啡,一手輕點鼠標完成一筆轉賬或股票交易,正變得越來越平常。
方便、快捷的交易特點如同一種致命誘惑,促成了過去幾年中國的網銀客戶象春草一樣瘋長。來自艾瑞市場咨詢的預計,2006年中國網上銀行用戶規模已經達到7100萬戶,其中,個人客戶7000萬。這意味著20個人里,就有一個人在使用網上銀行。如果限定在城市范圍,上述比例則更高。
與此同時,盡管各家銀行不斷對其網銀進行升級加強,但網銀盜詐事件仍時有發生,網銀的安全性正成為那些網銀的使用者和潛在客戶擔憂的主要問題。盜詐背后,究竟應歸咎為銀行的技術系統不過關,還是客戶自己的粗心大意,亦或監管的缺位,正成為一個急待理清的問題。
銀行是否還要保留大眾版?
目前,網上銀行一般都區分大眾版和專業版。而據統計,目前90%以上的案件大部分發生在“大眾版”網上銀行。資深網銀專家、艾瑞市場咨詢分析師柳龍濤向記者指出,除了在服務內容方面不同以外,兩者的區別在于專業版采取了數字證書和U盾等技術。
在他看來,專業版好比一個黑箱,個人信息好比打開這把黑箱的鑰匙。箱子里有一把,箱子外客戶有一把。其他人除非從客戶手中拿到這把鑰匙打開箱子,否則是沒有其他辦法進入的。“在技術方面,我們可以說是和世界接軌的。” 劉龍濤說。
一位銀行業人士向記者表示,目前的主要問題是:網上銀行最安全的防線(數字證書)沒有得到普及,絕大多數用戶仍然是大眾版“卡號+口令”的使用者。數字證書的使用者網上銀行被盜的可能性極小,即使出現被盜,第三方數字證書認證機構也明確了愿意承擔賠償責任。
上述人士稱,雖然大眾版的服務內容有限,但開通比較簡單。與之相比,專業版的開通則需要相對比較煩瑣的程序,且有一定的收費(如用戶購買工行的U盾需要花60-70元)。因此大眾版可最大限度的吸引潛在客戶,有利于網銀的進一步推廣。但不可否認,其安全性確實要低一些。
記者瀏覽各家銀行網站注意到,對于數字證書和USB Key的使用,各家銀行一般僅為建議采用,并非一個強制方案。一位網銀客戶向記者稱,他覺得既然沒有強制申請,說明銀行能保證自己的資金安全,也就對數字證書沒怎么重視。
統計顯示,中國目前的網上銀行用戶中,數字證書使用者在5%以下。一位律師向記者稱,數字證書沒有普及顯然不是個人問題。因為如果銀行在明知沒有數字證書的情況下,用戶在網上的賬號、密碼可能被盜,仍然為95%的用戶提供網上支付服務,銀行應當難辭其咎。
客戶自身未養成良好的習慣
不過,即便如此,大部分的銀行資金盜詐案件仍源于客戶自身的過失。艾瑞市場咨詢分析師柳龍濤向記者稱,事實上,在網絡世界中,客戶在很多方面都有可能將自己的個人資料遺失,或者遭遇盜竊,而這些就有可能被竊詐者通過網銀去轉移其賬戶資金。
他舉例說,比如有的客戶粗心大意,在一些虛假網站(釣魚網站)上注冊了自己的個人信息材料;打開一些不明郵件,被其中的木馬病毒盜取了個人信息;喜歡用自己的生日作為密碼等等。
他還特意強調了一些非技術的因素。比如從一些已經發現的網銀案件來看,不乏熟人做案。“熟人最了解你的性情習慣,在這方面,注意保護個人信息,尤為重要。”柳龍濤說。
客戶應對自己的不良習慣負責,而另一方面,銀行也要盡到充分的提示義務。
監管缺位
在銀行和客戶之外,網銀的安全性問題,實際上也反映了監管的缺位。這表現在對于網上銀行仍缺乏專門的針對性的法規。對于網銀產業鏈上的各個主體,如銀行、網絡技術公司、金融認證機構、客戶等缺乏系統的權責安排。
業內一位人士指出,這實際上跟我國目前整個的監管體制和監管水平相關。如何在保障安全和促進網銀發展之間尋求平衡,以跟上現代金融革命的步伐,顯然是一個極具挑戰性的課題。
在這些問題得不到系統解決的情況下,客戶的網銀資金安全問題,依然是始終懸掛在其頭上的一把達莫克里斯之劍。(謝曉冬 唐軼男)
資料鏈接:何為USB Key?
USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的私鑰以及數字證書,利用USB Key內置的公鑰算法實現對用戶身份的認證。由于用戶私鑰保存在密碼鎖中,理論上使用任何方式都無法讀取,因此保證了用戶認證的安全性,是一種目前網上銀行應用較廣泛的身份認證產品,一些銀行的U盾、優KEY等都是這種產品。
它的使用方法是,用戶登錄時在電腦上插入USB Key,然后輸入PIN碼,如果驗證通過,則可以進行相關交易。
USB Key的硬件和PIN碼構成了可以使用證書的兩個必要因素。如果用戶PIN碼被泄漏,只要USB Key本身不被盜用即安全。但USB Key在實際使用中也有一定風險,由于PIN碼是在用戶電腦上輸入的,如果用戶不及時取走USB Key,那么黑客可以通過截獲的PIN碼來取得虛假認證,仍然存在安全隱患。(厲炎)
