美聯社10月29日報導,這類分析只是銀行網站要增加的安全防範的一個例子,因為美國聯邦管理者要求銀行網站到2006年底達到「兩個因素」確認的新要求。就是說,要求檢查除用戶名和密碼以外的東西來確認顧客的身份。
「網路釣魚者」(Phishers)和其他網路詐騙犯精於盜取密碼,主要是通過社會工程(social engineering)。利用人們相信貌似權威的心理,罪犯向受害人發出看起來像是正當的電子郵件,引誘他們到一個看起來可信的網站上輸入數據,從而盜取用戶資料。
許多海外銀行已經佈置第二層確證系統,發給顧客特殊的硬體,比如,智慧卡或者顯示不斷變換密碼的電子籌碼。
美國的銀行為了節省開支,不願這麼做。然而,他們可能會在網站伺服器上設置一些我們大多不會注意到的小機關。
「我們正試圖提供一些好用的東西,」 Corillian公司的安全主管馬隆尼(Jim Maloney)說。這是一家給銀行網站提供登陸分析軟體的公司。
如果軟體給某個用戶亮起紅燈,比如,該用戶某天是從丹麥而不是美國的丹佛登陸的,銀行就會問他一些只有該顧客才能知道的問題(如上次抵押貸款付款多少),進一步確定他的身份。
這一類防範措施早已在信用卡公司存在多時,銀行網站還沒有大面積採用也足夠說明該行業的安全狀況。
雖然身份盜竊和其它金融詐騙引起了很多關注,人們也相信詐騙手腕會越來越成熟,但銀行還是不太願意改進它們的網站。
然而,網路被認為是銀行最省錢的平臺,遠比讓顧客到銀行與出納打交道要便宜。自助性質銀行網站的效率抵得上金融詐騙的損失。據估計,2004年全球金融詐騙的損失為1.37億美元。
「現在,銀行還沒有太多的安全措施檢查賬號,」Gartner 調查公司的分析師尼堂(Avivah Litan)說,「總的來說,這種損失還承受得起。」
然而,10月12日,美國聯邦財政機構檢測委員會(Federal Financial Institutions Examination Council)-包括聯邦儲備(Federal Reserve)和聯邦存款保險公司(Federal Deposit Insurance Corp.,FDIC)等管理者在內的一個雨傘集團-告訴銀行到2006年底要加強網上身份驗證。審查員會定期檢查銀行的努力。
此項政策被廣泛的認為是由於安全系統提供者的大力推動所促成。
根據FDIC六月份的報告,少數美國銀行已經發給顧客密碼每分鐘都會改變的籌碼(token)。密碼由內置於籌碼的一個程序演算,經由中央認證伺服器確認,使得猜中密碼成為不可能。
但是,籌碼也帶來頭疼的問題。部署籌碼費用相對高,如果籌碼遺失或者一時找不到,銀行的顧客服務處就會接到大量的電話。銀行也擔心顧客最終不耐煩於收集他們要在網上做生意的所有公司的籌碼。
即使一個籌碼也可能被認為是個麻煩。
在ETrade金融公司將RSA公司製作的籌碼開始提供給280萬美國顧客之後,只有二萬人接受了。幾乎這些人都能夠免費得到籌碼,因為他們經常要做交易或者賬上超過五萬美元,其他人都得要付25美元。
一次性的密碼相對便宜,它們可以被傳遞給手機或者手提電腦,或者郵寄給顧客。但是安全專家們警告一次性密碼可能會被盜,雖然可能性很小,但是現在容易受騙上當的人太多。
基於硬體的解決方法仍有瑕疵,因此,大多數銀行會採取軟性步驟來達到管理者的要求。
其中一個辦法是,給每個顧客一份加密了的電子證書,存儲在他們個人電腦的一個小文件裡。這些證書會向銀行證明用戶的真實身份。並且,加密的電子證書不會向發放該證書的其它網站做出響應,這樣既保護了用戶,也保護了銀行。
銀行也會要求顧客在往下拉的菜單或者隨即產生PIN號碼的便箋上輸入密碼,屏幕上會顯示對應於PIN數字的字母。這些技術是為了對付可能隱藏在顧客電腦裡用於竊取密碼的木馬和記錄鍵盤動作的間諜程序。
另一個基於軟體的辦法是美國銀行(Bank of America)的SiteKey服務。每次用戶登錄時,銀行網頁顯示用戶自己選擇的個性化圖片和圖片標題,並且隨機選擇顧客以前確定好的「秘密問題」詢問用戶。
然而,即使這樣的方法也是有缺陷的,除非很多用戶瞭解銀行網站和罪犯之間長期的競賽。真正的問題是社會工程,而不是技術。
ComputerBytesMan.com的網路安全顧問史密斯(Richard M. Smith)說,他預期網路釣魚者會給人們發送看起來像是正當的郵件,引誘容易上當的用戶相信,他們的SiteKey圖片必須要更改了。
「我認為人們還會掉入這樣的陷阱,」他說,「要記住的關鍵是網路釣魚者善於變化,當安全措施升級,變得普遍時,他們也會改變方式。」