如果說,三年前在中國,使用網(wǎng)上銀行還象談?wù)撟钚碌暮萌R塢大片一樣是一種時尚。那么三年后的今天,起碼在城市,穿著拖鞋坐在家里,一手端著咖啡,一手輕點(diǎn)鼠標(biāo)完成一筆轉(zhuǎn)賬或股票交易,正變得越來越平常。
方便、快捷的交易特點(diǎn)如同一種致命誘惑,促成了過去幾年中國的網(wǎng)銀客戶象春草一樣瘋長。來自艾瑞市場咨詢的預(yù)計,2006年中國網(wǎng)上銀行用戶規(guī)模已經(jīng)達(dá)到7100萬戶,其中,個人客戶7000萬。這意味著20個人里,就有一個人在使用網(wǎng)上銀行。如果限定在城市范圍,上述比例則更高。
與此同時,盡管各家銀行不斷對其網(wǎng)銀進(jìn)行升級加強(qiáng),但網(wǎng)銀盜詐事件仍時有發(fā)生,網(wǎng)銀的安全性正成為那些網(wǎng)銀的使用者和潛在客戶擔(dān)憂的主要問題。盜詐背后,究竟應(yīng)歸咎為銀行的技術(shù)系統(tǒng)不過關(guān),還是客戶自己的粗心大意,亦或監(jiān)管的缺位,正成為一個急待理清的問題。
銀行是否還要保留大眾版?
目前,網(wǎng)上銀行一般都區(qū)分大眾版和專業(yè)版。而據(jù)統(tǒng)計,目前90%以上的案件大部分發(fā)生在“大眾版”網(wǎng)上銀行。資深網(wǎng)銀專家、艾瑞市場咨詢分析師柳龍濤向記者指出,除了在服務(wù)內(nèi)容方面不同以外,兩者的區(qū)別在于專業(yè)版采取了數(shù)字證書和U盾等技術(shù)。
在他看來,專業(yè)版好比一個黑箱,個人信息好比打開這把黑箱的鑰匙。箱子里有一把,箱子外客戶有一把。其他人除非從客戶手中拿到這把鑰匙打開箱子,否則是沒有其他辦法進(jìn)入的。“在技術(shù)方面,我們可以說是和世界接軌的。” 劉龍濤說。
一位銀行業(yè)人士向記者表示,目前的主要問題是:網(wǎng)上銀行最安全的防線(數(shù)字證書)沒有得到普及,絕大多數(shù)用戶仍然是大眾版“卡號+口令”的使用者。數(shù)字證書的使用者網(wǎng)上銀行被盜的可能性極小,即使出現(xiàn)被盜,第三方數(shù)字證書認(rèn)證機(jī)構(gòu)也明確了愿意承擔(dān)賠償責(zé)任。
上述人士稱,雖然大眾版的服務(wù)內(nèi)容有限,但開通比較簡單。與之相比,專業(yè)版的開通則需要相對比較煩瑣的程序,且有一定的收費(fèi)(如用戶購買工行的U盾需要花60-70元)。因此大眾版可最大限度的吸引潛在客戶,有利于網(wǎng)銀的進(jìn)一步推廣。但不可否認(rèn),其安全性確實要低一些。
記者瀏覽各家銀行網(wǎng)站注意到,對于數(shù)字證書和USB Key的使用,各家銀行一般僅為建議采用,并非一個強(qiáng)制方案。一位網(wǎng)銀客戶向記者稱,他覺得既然沒有強(qiáng)制申請,說明銀行能保證自己的資金安全,也就對數(shù)字證書沒怎么重視。
統(tǒng)計顯示,中國目前的網(wǎng)上銀行用戶中,數(shù)字證書使用者在5%以下。一位律師向記者稱,數(shù)字證書沒有普及顯然不是個人問題。因為如果銀行在明知沒有數(shù)字證書的情況下,用戶在網(wǎng)上的賬號、密碼可能被盜,仍然為95%的用戶提供網(wǎng)上支付服務(wù),銀行應(yīng)當(dāng)難辭其咎。
客戶自身未養(yǎng)成良好的習(xí)慣
不過,即便如此,大部分的銀行資金盜詐案件仍源于客戶自身的過失。艾瑞市場咨詢分析師柳龍濤向記者稱,事實上,在網(wǎng)絡(luò)世界中,客戶在很多方面都有可能將自己的個人資料遺失,或者遭遇盜竊,而這些就有可能被竊詐者通過網(wǎng)銀去轉(zhuǎn)移其賬戶資金。
他舉例說,比如有的客戶粗心大意,在一些虛假網(wǎng)站(釣魚網(wǎng)站)上注冊了自己的個人信息材料;打開一些不明郵件,被其中的木馬病毒盜取了個人信息;喜歡用自己的生日作為密碼等等。
他還特意強(qiáng)調(diào)了一些非技術(shù)的因素。比如從一些已經(jīng)發(fā)現(xiàn)的網(wǎng)銀案件來看,不乏熟人做案!笆烊俗盍私饽愕男郧榱(xí)慣,在這方面,注意保護(hù)個人信息,尤為重要!绷垵f。
客戶應(yīng)對自己的不良習(xí)慣負(fù)責(zé),而另一方面,銀行也要盡到充分的提示義務(wù)。
監(jiān)管缺位
在銀行和客戶之外,網(wǎng)銀的安全性問題,實際上也反映了監(jiān)管的缺位。這表現(xiàn)在對于網(wǎng)上銀行仍缺乏專門的針對性的法規(guī)。對于網(wǎng)銀產(chǎn)業(yè)鏈上的各個主體,如銀行、網(wǎng)絡(luò)技術(shù)公司、金融認(rèn)證機(jī)構(gòu)、客戶等缺乏系統(tǒng)的權(quán)責(zé)安排。
業(yè)內(nèi)一位人士指出,這實際上跟我國目前整個的監(jiān)管體制和監(jiān)管水平相關(guān)。如何在保障安全和促進(jìn)網(wǎng)銀發(fā)展之間尋求平衡,以跟上現(xiàn)代金融革命的步伐,顯然是一個極具挑戰(zhàn)性的課題。
在這些問題得不到系統(tǒng)解決的情況下,客戶的網(wǎng)銀資金安全問題,依然是始終懸掛在其頭上的一把達(dá)莫克里斯之劍。(謝曉冬 唐軼男)
資料鏈接:何為USB Key?
USB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲用戶的私鑰以及數(shù)字證書,利用USB Key內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認(rèn)證。由于用戶私鑰保存在密碼鎖中,理論上使用任何方式都無法讀取,因此保證了用戶認(rèn)證的安全性,是一種目前網(wǎng)上銀行應(yīng)用較廣泛的身份認(rèn)證產(chǎn)品,一些銀行的U盾、優(yōu)KEY等都是這種產(chǎn)品。
它的使用方法是,用戶登錄時在電腦上插入USB Key,然后輸入PIN碼,如果驗證通過,則可以進(jìn)行相關(guān)交易。
USB Key的硬件和PIN碼構(gòu)成了可以使用證書的兩個必要因素。如果用戶PIN碼被泄漏,只要USB Key本身不被盜用即安全。但USB Key在實際使用中也有一定風(fēng)險,由于PIN碼是在用戶電腦上輸入的,如果用戶不及時取走USB Key,那么黑客可以通過截獲的PIN碼來取得虛假認(rèn)證,仍然存在安全隱患。(厲炎)