一、目前網上銀行系統普遍存在的五大問題
我國網銀系統起步於1997年招行推出的“一網通”,到2021年就已經經過了24年的發展,現在已經把90%以上的業務都搬到到了網上,並且基本上都已搬到了智慧手機上。“搬”意味著只是使用者可以不用去銀行網點,可以在網上辦理業務了。網銀系統24年過去了,基本上沒有任何真正的創新!但是,隨著移動網際網路的普及應用,現在的網銀系統已經無法滿足人們的全方位銀行服務需求,甚至逐漸被網際網路公司邊緣化和後臺化。個人網銀服務和企業網銀服務都急需創新,需要銀行馬上行動起來,充分利用移動網際網路的紅利為銀行客戶提供更加方便快捷安全的網銀服務。
目前,我國網銀系統有如下五個方面的問題急需解決和改進:
密碼應用採用的加密演算法非常落後,非常不安全!
網銀系統普遍採用的USB Key證書還是採用1024位SHA1 RSA證書,不僅不合規而且非常不安全。國際標準早在10年前(2010年12月31日)停止簽發1024位證書,2013年12月31日禁用1024位證書, 2015年12月31日停止簽發SHA1 證書和禁止使用SHA1簽名。谷歌早在2017年2月23日宣佈破解PDF檔案 SHA1簽名,這就是說,我國網銀系統依賴的證書籤名確認支付行為是有可能被假冒的!網銀系統問世24年了,密碼應用沒有任何進步和創新!
簡訊驗證碼已經非常不安全,但仍然在普遍廣泛使用!
網銀服務普遍採用的簡訊驗證碼驗證方式產生於1990年代,那個時候的簡訊驗證碼的確是不同通道的雙因子認證,是安全的。美國國家標準研究院早在2017年釋出的SP 800-63B指出使用簡訊驗證只能是帶外鑑證。但是,現在是移動網際網路時代,上網使用網銀APP和接受簡訊驗證碼已經變成了同一通道和同一裝置(帶內),非常容易被惡意APP讀取,已經不再滿足雙因子認證(帶外驗證)的技術基礎要求,但仍然還在廣泛使用,居然收到驗證碼就能支付!簡訊驗證碼還非常容易被偽基站假冒,而導致網銀使用者上當受騙而遭遇錢財損失。網銀系統問世24年了,簡訊驗證已經非常不安全,身份驗證技術沒有任何進步和創新!
銀行賬單都是明文郵件傳送,非常不安全,但仍在廣泛使用!
銀行等金融機構給使用者傳送電子賬單或各種通知都是明文郵件,不僅洩露了使用者的隱私資訊,而且給使用者帶來了的賬戶安全問題,並導致各種假冒銀行的欺詐郵件氾濫。從而導致使用者紛紛中招而損失錢財。網銀系統問世24年了,仍然使用明文郵件傳送電子賬單,沒有任何技術進步和創新!
銀行電話客服系統不僅建設和運維費用高,而且使用者也非常不方便,但仍廣泛使用!
銀行電話客服不僅在使用者方總是打不進去,而且在銀行方也是成本居高不下,並且不方便使用者提供截圖等反映網銀問題。而現在的微信公眾號或者網銀APP客服雖然方便些,但仍然存在未加密和身份被假冒等安全隱患。網銀系統問世24年了,現在是移動網際網路時代了,仍然還是使用經常打不進去的電話客服,沒有任何技術進步和創新!
支付服務沒有任何創新,銀行已經被網際網路公司邊緣化!
電腦網銀還是非常難用的USB Key認證方式,要求安裝一大堆驅動軟體,並且經常無法登入。使用者需要更換各種不同的瀏覽器才能登入不同銀行網銀系統,而這些瀏覽器技術上已經非常落後,很不安全,但為了能登入網銀還不得不保留使用。隨著移動網際網路的普及,雖然銀行也推出了網銀App,但是基本上都是不安全的,有些APP居然不採用https加密同伺服器通訊,有些APP即使啟用了https,但是不驗證證書是否可信、證書繫結域名是否正確和證書是否被吊銷等基本安全檢查,就直接與伺服器通訊,非常容易遭遇中間人攻擊。並且許多網銀App還是採用很不安全的使用者名稱/口令登入方式。網銀系統問世24年了,雖然增加了移動網銀APP,但是帶來了更多的安全隱患。在網銀支付方面沒有任何技術進步和創新!
其實,以上五大問題不僅僅是技術落後和沒有創新,而且是嚴重違反了《密碼法》和其他推進金融服務業態的商用密碼應用的許多檔案精神和規章制度,也嚴重製約了銀行服務的健康快速發展。這的確是擺在銀行業的一個解決的技術難題和管理難題。我們認為,不解決以上五大問題的網銀系統都不是好系統。使用者在選擇自建或升級改造網銀系統時必須在仔細評估以上安全風險和存在問題後選擇合適的技術方案。
二、借鑑國外銀行業的創新解決方案
讓我們來看看歐美國家的銀行業的一些解決方案,看看是否能借鑑和學習。
如下左圖所示,德國郵政銀行採用廣泛使用的郵件通訊方式,只給使用者傳送有數字簽名的郵件,沒有銀行數字簽名的號稱是來自銀行的郵件都是假冒的,使用者非常容易識別,徹底解決以上安全問題三。郵政銀行是從德國郵電郵政局分離出來的德國最大的零售銀行, 郵政銀行使用電子郵件數字簽名技術來抑制日益猖獗的透過釣魚郵件來竊取線上個人銀行資訊的釣魚攻擊。郵政銀行使用支援標準的 S/MINE 協議的電子郵件簽名證書來對電子郵件數字簽名。釣魚郵件攻擊是給使用者傳送一個看似來自銀行的電子郵件來欺騙使用者輸入一個個人銀行資料,如信用卡資訊、銀行賬戶使用者名稱和口令,這些資訊將被用來金融偷竊和身份盜竊。根據德國市場調查機構 TNS Infratest 的調查,釣魚郵件攻擊在過去的幾年裡已經攻擊了包括郵政銀行在內的德國各大銀行,有 80% 以上的網上銀行使用者懷疑聲稱來自銀行的電子郵件的真實性。郵政銀行客戶可以點選收到的郵件的數字簽名標誌來檢視郵件真實發件人的身份,同時如果該郵件的內容如果被非法篡改,則會提示使用者。
如下右圖所示,德國德意志銀行也是採用廣泛使用的郵件通訊方式,要求用加密郵件實現銀行和使用者之間的所有通訊,保護使用者隱私和保護機密資訊,徹底解決以上安全問題三的明文郵件洩露使用者機密資訊和假冒銀行郵件的難題。德意志銀行不僅像德國郵政銀行那樣採用數字簽名確認銀行的身份,而且同時採用證書加密每一封銀行同使用者的通訊郵件。要求使用者必須使用支援S/MIME郵件加密技術的郵件客戶端如Outlook等收發加密郵件,並且使用者必須向CA申請一張全球信任的郵件證書。這個是一個很大的使用門檻,比使用者登入網銀門檻還高!
如下圖所示,美國美洲銀行、美國富國銀行、英國英格蘭銀行、勞埃德銀行、匯豐銀行、加拿大皇家銀行等採用思科或者其他廠家的的數字信封解決方案(PGP加密),需要使用者註冊賬戶,輸入密碼檢視來自銀行的加密郵件和回覆銀行加密郵件。這個方案明顯比德意志銀行的方案要方便簡單很多,使用者無需向CA申請證書,也無需使用指定的郵件客戶端就可以實現加密郵件的解密閱讀和傳送加密郵件給銀行。有些是要求登入網銀閱讀、有些是給一個密碼加密的PDF檔案、有些是登入第三方的加密郵件系統閱讀和傳送加密郵件給銀行。但是,這些方案仍然是傳送明文郵件通知使用者登入安全郵件系統檢視加密郵件。使用者第一次必須先使用自己的郵箱作為使用者名稱註冊銀行提供的安全郵件服務。明文通知郵件、註冊過程和需要輸入密碼的過程都是不安全的。
三、密信網銀服務系統解決方案
密信技術借鑑了歐美銀行的解決方案,創新地採用成熟的商用密碼技術(國產密碼演算法)、雲計算技術和電子郵件通訊技術,歷時4年成功研發出基於電子郵件通訊系統的“網上銀行加密通訊服務系統”,簡稱“網銀密信”,有效地解決了上述目前存在的五大問題:
全部採用國密演算法SM2證書實現身份認證、數字簽名和資料加密,滿足《密碼法》《電子簽名法》和相關檔案合規要求,能有力保障我國網銀系統加密通訊的自主可控,徹底解決上述問題一的密碼演算法的不安全問題。
創新服務一:採用加密郵件方式傳送各種驗證碼來替代不安全的簡訊方式傳送驗證碼,徹底解決簡訊驗證碼有可能被惡意App非法竊取的難題,從而有效地保障了網銀支付安全。
創新服務二:採用加密郵件傳送各種銀行賬單和對賬單等銀行單據,有效地防止明文郵件洩露使用者銀行賬戶或信用卡機密資訊,也有效地防止假冒銀行郵件欺詐,並且所有加密郵件都有時間戳,證明郵件傳送時間可信,並具有法律效力,從而有效地保障了網銀服務安全。
創新服務三:採用加密和數字簽名郵件實現可信身份線上客戶服務,使用者和銀行之間的所有往來客服郵件都是加密郵件,不僅能高效地為使用者提供服務,而且能有效地防止假冒銀行客服人員的欺詐行為發生,並能降低電話客服成本和提升客戶滿意度。
創新服務四:採用國密合規和全球信任的雙演算法數字簽名實現網上銀行協議實時線上簽署,幫助銀行徹底實現無紙化和數字化,數字簽名具有同紙質協議一樣的法律效力。
創新服務五:銀行還可以創新地提供基於數字簽名和加密郵件的簡單快捷線上支付。由於使用者身份可信、通訊全加密而且有具有法律效力的數字簽名和時間戳記錄,銀行可以創新地提供基於郵箱的收付款服務-發郵件就完成付款,收到郵件就收到款。
密信技術採用更加先進的國密合規的商用密碼演算法實現數字簽名、加密和時間戳,符合《密碼法》《網路安全法》和其他合規檔案要求。同樣採用基於加密郵件通訊,但是徹底解決了德國銀行採用的技術方案太複雜不方便使用者使用的難題,同時也徹底解決了美國和英國銀行採用的方便使用但又降低了安全性的問題。不僅方便使用,而且安全可靠,特別適合於移動網際網路。
基於加密郵件通訊在我國有普及應用基礎,有QQ號碼使用者就有QQ郵箱,有手機號碼使用者就有139郵箱/沃郵箱/189郵箱(不限手機號),還有大量的網際網路公司提供的免費郵箱和政府提供的市民郵箱,這些基礎設施並沒有發揮最好的作用!其實加密郵件通訊是最方便快捷安全高效的通訊方式,這是一種去中心化的點對點高效安全通訊,只是由於明文郵件的不安全和郵件加密不方便使用而導致了沒有得到普及應用。現在,密信技術解決了郵件加密的易用難題,可以廣泛用於網銀加密通訊服務了!
密信技術提出的基於加密郵件、數字簽名和時間戳技術的網銀密信五大創新服務,徹底改變人們使用網銀服務的方式,更安全更方便。銀行採用網銀密信服務不僅能提升安全服務水平,而且有望徹底扭轉在移動支付領域被邊緣化的局面!密信技術提供的基於國密演算法加密和數字簽名的創新網銀服務解決方案已經在部分銀行使用,電子郵件全自動加密應用已經覆蓋到全球171個國家和地區使用者。歡迎聯絡我們瞭解更多詳情。
