近来,一种薄如银行信用卡可以轻松地放在皮夹里,同时兼具信用卡和动态密码认证功能的卡片式令牌面世。只需按下按钮,卡的显示屏上就会产生新的一次性密码,透过这种双因素认证技术,金融机构可以更好地保护客户的在线金融交易安全。
一个看似不起眼的新产品,却传递出一个鲜明信息:一直在风险、拥有成本及便利性三者之间寻求最佳平衡的网银身份认证策略正迈出新步伐——与银行的服务创新、渠道创新更加紧密地结合起来,由此,动态密码在网上银行、电话银行的应用将得到更广泛的普及。同时,银行卡的差异化创新也将从中汲取更多的灵感。
网银身份认证,期待安全与便捷统一
近年来,我国网银用户数量发展迅速,但遗憾的是,比起中国的上网人数,其所占比例并不高。究其因主要还是用户对网银安全的顾虑,此外,还有不少用户认为网银注册及网银身份安全认证手续太麻烦。
去年,银监会曾发布通告要求各银行加强用户身份验证管理,对所有网上银行高风险账户操作统一使用双重身份认证。这一通告意味着:对于银行来说,面对高风险网银交易,要么部署硬件USB数字证书,要么部署双因素动态密码认证等双重身份认证系统。然而,先进的科技并不能保证在消费者领域推广得更好。RSA公司专家认为,硬件数字证书是公认的安全技术,也是被国内银行业大力采用的技术。但是,其最大的问题是使用起来较麻烦,人们必须携带USB Key,插入电脑后才能工作。此外,USB Key的后台管理还存在一些难题,如在运行电子证书服务时,管理员权限过大;不同银行的方案有所不同,用户需要熟悉各种不同的方案。
为妥善解决身份认证问题,银行的确提供了各种安全手段,但是,用户是否愿意使用才是安全手段能否发挥作用的关键。由于提供的服务导致网银用户不愿用或是少用,这都有悖于银行推出安全服务的初衷。
动态密码是一次一变的密码技术,采取时间同步或事件同步的方式,让用户手中的令牌获得的密码与网银后台中的密码保持一致。这种双因素认证方式安全、高效,使用起来十分方便,正逐渐被国内的银行和用户接受。在国内较早采用动态密码的兴业银行技术负责人表示:“由于传统的个人密码方式不够安全,很难抗击钓鱼网站和密码被盗的威胁。因此,我们在选择采纳哪种安全认证系统的时候,研究了很多不同的解决方案。经过多次评估之后,最终选择了动态密码身份认证技术。对客户来说,除了考虑安全因素外,简单方便的认证方案也同样重要。用户在使用网银服务时,是透过动态密码口令进行第二重认证的,毋须添加任何额外的硬件或软件程序、不用刻意改变原来的使用习惯,就能达到安全和简单方便两种要求。”
