根據IDG新聞社4月21日的報導,銀行網站的安全問題出在於用戶登入區。例如大通銀行(Chase)網站和美國運通(Americanexpress)網站都要求用戶鍵入帳號與密碼。「鍵入的資料雖然可以加密,但是並未利用鑒識技術來作身份辨認。」美國系統網路安全協會(SANS Institute)的首席研究員Johannes Ullrich 說道。
有一種較安全的作法是,強迫用戶登入有加密處理的網頁HTTPS。這種網頁採用SSL(Secure Sockets Layer)安全加密技術,不只進行資料加密,也提供數位認證,來確保登入網站的真實身份。
Ullrich 說,如果登入的不是 HTTPS格式的網頁,你實在無法確定該網頁是否是真的。因為,沒有使用這種安全連結的網頁很容易遭受到所謂「DNS spoofing(域名解析服務欺騙)」的攻擊,它會利用偽照的數字形式的網址,騙過域名解析伺服器而讓用戶進入虛假的網站。
不過,這種攻擊需要一些技術。所以,駭客多半喜歡改用「網路釣魚」(phishing)的手法,直接讓用戶受騙而透露帳號與密碼。這種方式更為簡單。
可是,即使如此,銀行網站也實在沒有什麼理由放任用戶透過不用SSL加密協定的網頁來登入。
SANS編撰了一份各銀行的匯總資料,列示了是否採用SSL加密的登入網頁。其中,需要SSL協定認證的銀行網站包括︰Capital One 銀行、花旗集團(Citigroup)與富國銀行(Wells Fargo & Co.)。
美國銀行(Bank of America Corp.)也不使用 SSL加密的登入網頁。但用戶在登入網頁時只要鍵入「線上身份識別碼(online ID)」,而不必提交密碼。隨後,銀行網站把資訊傳送到HTTPS網頁,利用所謂SiteKey的技術來確認該顧客的身份,同時也以此確保所登陸的網站是真實的。
一般說來,銀行網站會把是否使用 SSL登入當作是一個選項,但是該選項很難找到。找到HTTPS網頁有個小技巧。Ullrich介紹說,就是在銀行網站的首頁故意鍵入錯誤的帳號或者密碼,在這種情況下,銀行網站通常會讓用戶連結到需要SSL登入的網頁了。這時,瀏覽器 Firefox 和IE會在螢幕右下方出現一個黃色小鎖的圖標。
短网址: 版權所有,任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。
【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用,成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。
