主题：【原创】如何放心大胆的使用网上银行 -- gaopf

参与了一个关于网上银行安全的讨论链接出处

因为本人是挨踢行业人员，使用网银多年，对网银安全也比较感兴趣，也很多网银被盗受害者交流过。有一些心得体会和大家分享一下，如有错误请各位指正。

国内网上银行的主要的身份验证方式：

1、静态口令：这个最好理解，登录网上银行使用用户名＋密码的单因素身份认证。这种方式的安全性最低，密码很容易被暴力破解或木马盗走。但是因其使用方便性，很多银行依然使用这种验证方式，但是验证通过之后仅能进行小额支付（比如200元以下），不能进行大额支付和转账。

2、文件数字证书：什么是证书？嗯。。这个要从公钥密码体系说起，，唉，鄙人才疏学浅实在无法用通俗易懂的语言描述出来。简单说吧就是拥有这个证书就可以证明你的身份，相当于在银行的柜台办业务时在单子上的本人签名。因为文件证书是以文件形式存储在电脑中的，容易被木马程序复制导出。因此，这种方式在各大银行逐渐停止使用。

3、usb载体数字证书，俗称usb key。数字证书存贮在一个类似u盘的东西上（本质上就是个u盘）。通过一些技术手段，使网银应用程序只能读取usb key中的私钥，而不能导出。大大提高了安全性。一般应用中还要设置一个访问密码，即通过密码验证之后才可以访问usb key。这种方式是各大银行主推的认证方式。

4、动态口令，在网银支付时需要输入动态口令。何动态口令，就是每次交易时输入的口令都不一样。动态口令有两种方式：1、密码卡，每个卡上有若干个密码，每次使用刮开一个。icbc和ccb都有这种方式。2、动态口令token，用户手里有一个钥匙扣大小的token，上面有6位数字，每一分钟变化一次。boc使用这种方式。还有很多公司登录内网vpn时也使用这种方式。动态口令一般和文件证书方式结合使用构成双因素认证方式。

5、短信方式，在交易确认前，向指定的手机发送一个验证码，验证码通过之后才可进行交易。这种方式都是和以上方式结合使用，而且一般要额外收费。

网银被盗的几种情况：

1、使用静态密码或文件证书安全方式，木马程序把密码和文件证书复制导出。90%的网银被盗案件都是这种情况。不乏被盗几十万的案例。

2、错误登录钓鱼网站，在网站的诱导下，输入密码、插上usb key.....，这种情况某种程度上属于诈骗的范畴。

3、信用卡网上支付被盗，由于信用卡自身的安全机制，有时候只需要卡号、cvv、有效期的等信息就可以支付。如果以上信息被木马窃取或卡片丢失就会造成被盗。

4、银行内部有鬼。遇到过一个某银行的用户没有开通网上银行，但是帐户的钱通过网上银行被盗走了。后来经过调查发现他的帐户在后台被开通了网银，转账，然后关闭网银。类似的情况还遇到过一个，这个的钱是通过电话银行转走的。这两件事本人也是道听途说、没经过详细调查研究，如果是真的话，只能引用范厨师的一句话了“防不胜防啊”。

下面说一下我吧，本人的大部分货币资产存放在ccb，也是ccb网银的第一批用户，从04年开始除了取现金外没去过银行，所有帐务查询转账汇款、缴纳手机水电煤气费用、网上购物、信用卡还款全部在网上银行进行。系统显示已经登录580多次，平均每3天使用一次网上银行，认证方式为usb key加短信认证，另外使用短信银行业务，超过500元的交易发短信提醒，至今没出过任何问题。另外本人还有cmb帐户开通网上银行也有5年左右了，使用频率较低，也没出现过问题。

总结一下，要安全的使用网上银行要注意一下几点：

1、良好的电脑使用习惯，安装防病毒木马软件，并及时更新，及时打操作系统补丁。不随意上来路不明的网站，不随意下载软件。。。。。

2、网上购物去正规网站，支付时一定要到银行的官方网站，注意银行网站的域名，比如工行是icbc.com.cn不是1cbc.com.cn。

3、办理网上银行业务时要使用usb key或动态口令方式，不要使用文件证书。

做到以上几点，在目前的技术水平下，基本可以放心大胆的使用网上银行。

还有强调一点：在信息技术领域没有绝对的安全。无论如何也不能保证网上银行100%的安全。

• 确实不太安全