互聯(lián)網(wǎng)的高速發(fā)展，推動甚至改變了一些行業(yè)的經(jīng)營模式，銀行就是其中一個非常典型的范例。隨著電商的發(fā)展，網(wǎng)銀在人們?nèi)粘Ｉ钪械膽?yīng)用頻次也越來越高，在某些交易行為上甚至超越了實體銀行柜臺的使用頻率。中國銀行業(yè)監(jiān)督管理委員會2006年3月1日施行的《電子銀行業(yè)務(wù)管理辦法》將電子銀行業(yè)務(wù)定義為：商業(yè)銀行等銀行業(yè)金融機構(gòu)利用面向社會公眾開放的通訊通道或開放型公眾網(wǎng)絡(luò)，以及銀行為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò)，向客戶提供的銀行服務(wù)。隨著電子銀行的逐步發(fā)展，也有不少犯罪分子把目光鎖定在了網(wǎng)銀上，給用戶造成了不小的損失。

在這樣的背景下，銀行方面也推出了不少安全措施幫助用戶捍衛(wèi)財產(chǎn)安全。在選擇這些安全措施時，用戶往往只單方面聽從銀行柜員的介紹，自己對各種“Key”并沒有太多的概念及理解。面對銀行針對個人和企業(yè)用戶提供的各種硬件安全產(chǎn)品，以及在使用網(wǎng)銀時的各種軟件安全產(chǎn)品，用戶應(yīng)該如何選擇？哪些產(chǎn)品最適合自己？哪種安全解決方案最方便易用？下面CHIP就將針對市面上種類繁多的“Key”，為大家進行詳細的介紹，以幫助用戶更好地選擇最適合自己的安全措施。

“密?？ā睍r代

相信不少人聽到“密?？ā钡臅r候，并不能很快地將它和網(wǎng)銀聯(lián)系在一起?？峙露鄶?shù)人對密保卡的認知，其實來自于網(wǎng)絡(luò)游戲密保卡或是QQ密?？?。“密?？ā币步小皠討B(tài)口令卡”，動態(tài)口令是根據(jù)特定算法生成不可預(yù)測的隨機數(shù)字組合，每個口令只能使用一次。網(wǎng)銀所采用的密保卡和網(wǎng)游及QQ所用的基本相同，這種卡片背后通常是80組數(shù)字?jǐn)?shù)字串，由8行數(shù)字和10列英文字母對應(yīng)組成，每張卡具有唯一的序列號，和用戶的銀行賬戶綁定。用戶在使用網(wǎng)銀時，登錄用戶名密碼后會出現(xiàn)類似“A7、E4、I3”的提示，用戶根據(jù)自己所持卡片將所對應(yīng)的數(shù)字填入即可驗證賬戶安全。

動態(tài)口令卡的優(yōu)點在于方便靈活，讓用戶擺脫了記憶復(fù)雜密碼的流程，只需要按照提示填寫即可通過驗證。其缺點在于每個數(shù)字只能使用一次，所以一般卡片都會設(shè)置有效期，而需要定期更換的弊端也給使用者造成了不小的困擾。另外，與密?？ㄍ诔霈F(xiàn)的還有一種文件證書產(chǎn)品，在硬件安全驗證設(shè)備發(fā)展還并不那么完善的時代，文件證書一度占據(jù)了主流地位，但是其最大的風(fēng)險是私鑰裝載設(shè)備的被盜，一旦電腦出現(xiàn)問題就有可能危及到用戶銀行賬戶的財產(chǎn)安全。加之文件證書需要定時更新、多平臺使用時需要手動復(fù)制證書，所以這種方式也逐漸被淘汰。隨著更多更方便快捷的安全工具應(yīng)運而生，動態(tài)口令卡和文件證書都逐漸退出了主流安全工具的舞臺。

“動態(tài)口令牌”和“USB Key”

繼動態(tài)口令卡之后，市場上又出現(xiàn)了動態(tài)口令牌（OTP，One time password）。動態(tài)口令牌其實是動態(tài)口令卡的硬件升級版，動態(tài)口令是根據(jù)特定算法生成不可預(yù)測的隨機數(shù)字組合，每60s隨機生成一個動態(tài)口令，每個口令只能使用一次。而動態(tài)口令牌則是用來生成動態(tài)口令的終端設(shè)備，也稱動態(tài)令牌，有硬件令牌和軟件令牌兩種形式。硬件令牌是一種全封閉的硬件設(shè)備，內(nèi)置電池，每個硬件令牌也有單獨的序列號以便和用戶的賬號綁定，除此以外還標(biāo)明該設(shè)備的有效期，以便在電池失效前更換新的硬件令牌。相比之前的動態(tài)口令卡，硬件令牌的安全系數(shù)更高，同時在很大程度上減少了頻繁換卡的繁瑣步驟，每隔60s更換一次的一次性數(shù)字串也提高了安全性，減少了用戶的風(fēng)險。

硬件令牌一般包括3種形式：基于時間同步、基于事件同步及挑戰(zhàn)、應(yīng)答方式，當(dāng)前主流的硬件令牌都是基于時間同步的。目前包括中國銀行在內(nèi)的多家銀行都輔助增加了“手機驗證碼+動態(tài)口令牌”的驗證服務(wù)，用戶只有輸入正確的短信驗證碼和動態(tài)數(shù)字串時才能進行網(wǎng)銀驗證，增加了網(wǎng)銀的安全性，也免去了網(wǎng)銀用戶名密碼及硬件令牌同時丟失所造成的安全隱患。另外，由于硬件動態(tài)令牌的封閉性，所以這種安全硬件被更多的企業(yè)用戶所選擇。作為對企業(yè)系統(tǒng)安全性的要求，企業(yè)更愿意選擇和搭載與企業(yè)系統(tǒng)沒有硬件接觸的動態(tài)口令牌，以確保企業(yè)系統(tǒng)的安全性。

另外一種軟件令牌又稱為手機令牌，形式和硬件令牌相同，只不過沒有實體的硬件設(shè)備，而是變?yōu)橐豢預(yù)pp供用戶安裝在手機上使用。這樣不僅更加方便隨身攜帶，也更加節(jié)約成本，并且比硬件令牌更加適應(yīng)移動互聯(lián)網(wǎng)的發(fā)展。手機令牌在iOS、Android、Symbian和Windows Phone上都有相應(yīng)的版本，減少了動態(tài)密碼運營和管理成本。

與動態(tài)口令牌不同，另一種安全設(shè)備是個人用戶更加慣用的“USB Key” （硬件數(shù)字證書載體）。它是一種USB接口的硬件設(shè)備，內(nèi)置單片機或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數(shù)字證書，利用USB Key內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了用戶認證的安全性。雖然各家銀行推出的設(shè)備名稱并不相同（譬如工商銀行叫“U盾”、招商銀行叫“優(yōu)Key”），但是其本質(zhì)都是USB Key產(chǎn)品。由于USB Key即插即用的特點，使得這款產(chǎn)品受到了更多個人用戶的青睞。與動態(tài)口令牌相同，USB Key也有獨立的編號和用戶的帳戶綁定，至于內(nèi)置數(shù)字證書服務(wù)期的限制，各家銀行會在到期前提示用戶進行證書更新及延長證書的服務(wù)期。由于這款設(shè)備可以和電腦連接，所以不需要內(nèi)置電池，硬件本身也就不存在使用期限的限制，更能節(jié)約成本。USB Key需要安裝驅(qū)動軟件才能正常使用，而驅(qū)動軟件目前只能安裝在Windows系統(tǒng)下，蘋果OSX用戶最好不要選擇這種安全工具。與此同時，為了更好地適應(yīng)各種平臺，各家銀行也在不斷地更新自己的安全工具。

第二代和第三代

為了更好適應(yīng)不同的平臺載體，加之移動互聯(lián)網(wǎng)的飛速發(fā)展，用戶對于手機網(wǎng)銀的安全需求也在逐步增加，銀行方面也在不斷更新升級自己的安全工具供用戶選擇。就升級類型而言，可以分為硬件升級和軟件升級兩種，其中硬件升級就是前文所提到的動態(tài)令牌和USB Key兩方面。

由于動態(tài)口令牌本身完全封閉，并不會和使用載體產(chǎn)生硬件設(shè)備的交流，所以其本身就具有極好的跨平臺特性，在普通的PC、平板電腦和手機上都能靈活使用，所以更新幅度較小。但動態(tài)口令牌在靈活便攜之余，也有容易丟失的特性，會給用戶造成一定的安全隱患，于是工商銀行近期推出了“工銀電子密碼器”，這款產(chǎn)品外形更像迷你版本的計算器，設(shè)有常見的數(shù)字按鍵及“開關(guān)、確認和刪除”按鈕，試用之初需要對硬件設(shè)備進行激活并設(shè)置開機密碼，在輸入正確的密碼后才能查看隨機字符串，為動態(tài)口令牌增加了新的安全保障，也能免除一部分丟失后的安全隱患。

相較于動態(tài)口令牌產(chǎn)品，USB Key更新的幅度更大，產(chǎn)品線也更豐富。被稱為“USB Key二代”的產(chǎn)品增加了LCD顯示屏和確認取消按鈕，不僅能夠?qū)崿F(xiàn)即插即用，而且還能在支付的同時，通過設(shè)備自帶的LCD屏幕顯示正在支付訂單的內(nèi)容及價格信息，通過操作設(shè)備上的確認和取消按鍵來對訂單進行操作。這種可視化的設(shè)計無疑進一步增加了安全性，能夠更好地保護用戶財產(chǎn)安全。美中不足的是，用戶仍然需要安裝兼容Windows系統(tǒng)的驅(qū)動軟件才能使用這款設(shè)備，并不能更好地適應(yīng)更多平臺。

于是乎，“USB Key三代”產(chǎn)品很快應(yīng)運而生。多家銀行推出了配有3.5mm音頻輸出口的“聲波驗證”設(shè)備，不再通過USB進行加密信息傳輸，而是改為音頻傳輸。Windows用戶仍然可以像往常一樣通過電腦客戶端來使用這款USB Key，而蘋果OSX用戶在插入設(shè)備后可選擇直接通過音頻傳輸，省去了安裝驅(qū)動軟件的步驟，更加方便快捷。由于3.5mm端口是手機的“標(biāo)配”，所以這款設(shè)備也能很好地適應(yīng)手機移動支付等多種平臺，用戶在手機上安裝銀行提供的iOS和Android版本App，通過3.5mm端口插入設(shè)備即可登陸使用。

而之前提到的軟件升級，也是銀行為了適應(yīng)多平臺移動支付而提供的升級服務(wù)。從軟件種類來看，可以分為系統(tǒng)安裝的驅(qū)動程序及瀏覽器安全控件兩種。

就電腦操作系統(tǒng)而言，大體分為微軟Windows和蘋果OSX用戶兩類，由于大部分產(chǎn)品的驅(qū)動程序都是基于Windows系統(tǒng)開發(fā)，所以很長一段時間以來，蘋果用戶在網(wǎng)銀支付上都存在不小的障礙。根據(jù)我國法律規(guī)定，網(wǎng)銀系統(tǒng)基于ActiveX認證標(biāo)準(zhǔn)建立，這就從根本上阻止了Mac OS/iOS、Android、Linux等“非主流”平臺獲得基于直插硬件的網(wǎng)銀安全認證能力，這也是目前只有Windows平臺能夠做到通過USB Key直插驗證的原因。由于目前銀行還不能支持在OSX上運行的網(wǎng)銀程序，所以建議蘋果用戶選擇動態(tài)口令牌的安全設(shè)備，或者選擇帶有3.5mm接口可進行聲波驗證的USB Key3代產(chǎn)品。隨著人們對移動辦公和生活的需求越來越高，除了電腦操作系統(tǒng)以外，手機網(wǎng)銀App也是銀行著重發(fā)展的一大方向。各家銀行也都推出了可運行在iOS和Android系統(tǒng)上的手機App，可以在手機上享受與電腦客戶端相同的網(wǎng)銀服務(wù)，硬件設(shè)備的跨平臺應(yīng)用也可以無縫對接。

除了在電腦客戶端使用網(wǎng)銀之外，由電商購物網(wǎng)站付款頁面直接跳轉(zhuǎn)至網(wǎng)銀頁面，是目前更加常見的付款模式，但這也對瀏覽器和相應(yīng)的安全控件兼容性提出了更高要求。同Windows系統(tǒng)的道理一樣，目前市面上的銀行瀏覽器安全控件都是基于IE開發(fā)而成，其他基于IE內(nèi)核的瀏覽器也都能很好地兼容銀行安全控件。即使是像Chrome和Firefox這類非IE內(nèi)核的瀏覽器，銀行也逐步推出了針對這些常用瀏覽器的安全控件。因此從使用網(wǎng)頁版網(wǎng)銀的安全控件上來看，目前已經(jīng)基本不存在什么障礙，用戶能夠在各種平臺和瀏覽器之間隨意轉(zhuǎn)換使用，甚至還有銀行推出了網(wǎng)銀專用瀏覽器供用戶選擇，但是其本質(zhì)仍然不變。需要注意的是，IE10的網(wǎng)銀控件兼容性不佳，用戶在使用時需要注意甄別瀏覽器，并且及時更新瀏覽器版本。

未來的更多可能

目前銀行所提供的網(wǎng)銀安全設(shè)備多為免費，這些安全芯片的供應(yīng)商多為捷德和上?；ヂ?lián)等固定幾家公司，銀行再根據(jù)不同的加密規(guī)則來選擇相應(yīng)的安全芯片供應(yīng)商。隨著超級網(wǎng)銀的出現(xiàn)，用戶使用網(wǎng)銀的頻率大大增加，也培養(yǎng)了用戶習(xí)慣，雖然目前設(shè)備的費用都由銀行負擔(dān)，但是從長遠發(fā)展來看，就像即將收費的超級網(wǎng)銀一樣，安全設(shè)備重回收費模式也是極有可能的。而隨著移動互聯(lián)網(wǎng)興起的手機銀行和移動支付，也刺激了新型硬件設(shè)備的產(chǎn)生。隨著蘋果iPhone配備了指紋掃描功能，USB Key也籌備推出指紋識別版本，驗證方式更加方便，安全程度也將更高。這些都是新興網(wǎng)銀平臺所帶來的變化。

除了以上提到的多重變化外，利用硬件進行識別也是安全認證的一項趨勢。相信不少用戶都已經(jīng)體驗過QQ異地登陸驗證、支付寶登陸手機驗證碼等服務(wù)，這些都是通過硬件進行驗證的實例。從安全驗證的根本意義來看，任何形式的驗證都是向銀行系統(tǒng)證明用戶自身是帳戶和資金所屬者的過程，伴隨著信息科技的發(fā)展，安全驗證的形式也經(jīng)歷了翻天覆地的變化。隨著芯片卡的普及，帶有NFC功能的銀行卡或許將成為未來驗證的新趨勢。但是從密碼學(xué)的角度來看，Key的安全等級較高，可靠性和平臺兼容性也比其他驗證方式更加出色，因此仍然會是未來一段時間的主流安全驗證方式。每種驗證方式都有自己的優(yōu)缺點，適用于不同的場所和平臺，使用者要根據(jù)自己的實際需求，再結(jié)合使用環(huán)境對驗證方式進行選擇，才能達到最理想的安全保障效果。