如果说,三年前在中国,使用网上银行还象谈论最新的好莱坞大片一样是一种时尚。那么三年后的今天,起码在城市,穿着拖鞋坐在家里,一手端着咖啡,一手轻点鼠标完成一笔转账或股票交易,正变得越来越平常。
方便、快捷的交易特点如同一种致命诱惑,促成了过去几年中国的网银客户象春草一样疯长。来自艾瑞市场咨询的预计,2006年中国网上银行用户规模已经达到7100万户,其中,个人客户7000万。这意味着20个人里,就有一个人在使用网上银行。如果限定在城市范围,上述比例则更高。
与此同时,尽管各家银行不断对其网银进行升级加强,但网银盗诈事件仍时有发生,网银的安全性正成为那些网银的使用者和潜在客户担忧的主要问题。盗诈背后,究竟应归咎为银行的技术系统不过关,还是客户自己的粗心大意,亦或监管的缺位,正成为一个急待理清的问题。
银行是否还要保留大众版?
目前,网上银行一般都区分大众版和专业版。而据统计,目前90%以上的案件大部分发生在“大众版”网上银行。资深网银专家、艾瑞市场咨询分析师柳龙涛向记者指出,除了在服务内容方面不同以外,两者的区别在于专业版采取了数字证书和U盾等技术。
在他看来,专业版好比一个黑箱,个人信息好比打开这把黑箱的钥匙。箱子里有一把,箱子外客户有一把。其他人除非从客户手中拿到这把钥匙打开箱子,否则是没有其他办法进入的。“在技术方面,我们可以说是和世界接轨的。” 刘龙涛说。
一位银行业人士向记者表示,目前的主要问题是:网上银行最安全的防线(数字证书)没有得到普及,绝大多数用户仍然是大众版“卡号+口令”的使用者。数字证书的使用者网上银行被盗的可能性极小,即使出现被盗,第三方数字证书认证机构也明确了愿意承担赔偿责任。
上述人士称,虽然大众版的服务内容有限,但开通比较简单。与之相比,专业版的开通则需要相对比较烦琐的程序,且有一定的收费(如用户购买工行的U盾需要花60-70元)。因此大众版可最大限度的吸引潜在客户,有利于网银的进一步推广。但不可否认,其安全性确实要低一些。
记者浏览各家银行网站注意到,对于数字证书和USB Key的使用,各家银行一般仅为建议采用,并非一个强制方案。一位网银客户向记者称,他觉得既然没有强制申请,说明银行能保证自己的资金安全,也就对数字证书没怎么重视。
统计显示,中国目前的网上银行用户中,数字证书使用者在5%以下。一位律师向记者称,数字证书没有普及显然不是个人问题。因为如果银行在明知没有数字证书的情况下,用户在网上的账号、密码可能被盗,仍然为95%的用户提供网上支付服务,银行应当难辞其咎。
客户自身未养成良好的习惯
不过,即便如此,大部分的银行资金盗诈案件仍源于客户自身的过失。艾瑞市场咨询分析师柳龙涛向记者称,事实上,在网络世界中,客户在很多方面都有可能将自己的个人资料遗失,或者遭遇盗窃,而这些就有可能被窃诈者通过网银去转移其账户资金。
他举例说,比如有的客户粗心大意,在一些虚假网站(钓鱼网站)上注册了自己的个人信息材料;打开一些不明邮件,被其中的木马病毒盗取了个人信息;喜欢用自己的生日作为密码等等。
他还特意强调了一些非技术的因素。比如从一些已经发现的网银案件来看,不乏熟人做案。“熟人最了解你的性情习惯,在这方面,注意保护个人信息,尤为重要。”柳龙涛说。
客户应对自己的不良习惯负责,而另一方面,银行也要尽到充分的提示义务。
监管缺位
在银行和客户之外,网银的安全性问题,实际上也反映了监管的缺位。这表现在对于网上银行仍缺乏专门的针对性的法规。对于网银产业链上的各个主体,如银行、网络技术公司、金融认证机构、客户等缺乏系统的权责安排。
业内一位人士指出,这实际上跟我国目前整个的监管体制和监管水平相关。如何在保障安全和促进网银发展之间寻求平衡,以跟上现代金融革命的步伐,显然是一个极具挑战性的课题。
在这些问题得不到系统解决的情况下,客户的网银资金安全问题,依然是始终悬挂在其头上的一把达莫克里斯之剑。(谢晓冬 唐轶男)
资料链接:何为USB Key?
USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性,是一种目前网上银行应用较广泛的身份认证产品,一些银行的U盾、优KEY等都是这种产品。
它的使用方法是,用户登录时在电脑上插入USB Key,然后输入PIN码,如果验证通过,则可以进行相关交易。
USB Key的硬件和PIN码构成了可以使用证书的两个必要因素。如果用户PIN码被泄漏,只要USB Key本身不被盗用即安全。但USB Key在实际使用中也有一定风险,由于PIN码是在用户电脑上输入的,如果用户不及时取走USB Key,那么黑客可以通过截获的PIN码来取得虚假认证,仍然存在安全隐患。(厉炎)