不久前,上海33岁的蔡先生在建行网上银行卡中的16万元资金忽然人间蒸发,虽然该案件最后在建行的努力下侦破了,但至今仍然令许多人感到心悸。据说,出现这种情况的不在少数,主要是因为银行颁发的数字软件证书通过MSN等即时工具被盗取,偷盗者冒用蔡先生的名义如入无人之地,大摇大摆地分多次将16万元资金取走。这让许多网民担心,一向被称为最安全的数字证书居然有如此大的漏洞,数字证书还可信吗?几年前就听说股民的资金账户被人恶意操纵,买卖一些下跌的股票,令资产受到巨大损失的事件,近年来这些事件时有发生,今年以来举国上下都在为股市疯狂时,网络炒股安全性问题成为关注的焦点。
相关专题推荐:不再为安全担心 网上交易安全防范手册
数字证书安全吗
数字证书是用来标志和证明网络通信双方身份的数字信息文件。数字证书一直被人们认为是网上银行最安全的通行证,较之传统的“账户号+密码”更具保障。《中华人民共和国电子签名法》的出台,将数字证书以法律认可的安全技术形式带入了人们的日常应用里,CA电子认证服务机构、PKI技术也因此被人们渐渐熟悉。
正因为如此,到2006年年底,国内网上银行用户超过4000万,现有个人用户中使用数字证书的占46%,企业用户中有46.3%正在使用数字证书。
数字证书就像是通往网上银行的保险锁,但如果我们把锁的钥匙随处摆放或不用时也长期插在锁上,而把密码贴在保险锁旁任人读取,那么无论保险锁多么坚固可靠,也是形同虚设的。
金融数字证书的不足
那为什么还会出现采用了数字证书后资金被窃事件呢?这与银行采用数字证书的方法有关。部分商业银行因考虑到使用成本的问题,在网上银行使用价钱便宜、非安全存储的“软数字证书”,即银行自己提供可复制、可保存在电脑或无安全保障的移动设备上的数字证书,某些证书是免费的,某些证书只收取20~30元的费用。由于软数字证书可以保存为文件,木马仍然有机会复制证书、记录密码,造成用户账号被盗,故这种证书是不安全的,上海的蔡先生碰到的就是这种情况。
某些银行认识到了软证书的不足,又自己推出了硬件证书,价格从60元到80元不等。但这依然存在风险。金融行业自身建立数字证书,在技术上并不专业,某些也没有经过国家相关部门的认证,相当于又当运动员又当裁判,很难彻底保证证书本身的安全性。
数字证书需第三方认证
目前最安全的数字证书应该是由第三方认证的数字证书,数字证书保存在经国家密码管理局技术认可的证书存储介质中,用户使用时需要插入证书存储介质并输入介质保护码,进行双因子验证;在使用过程中需要验证证书是否存在并有效,进行签名/验证、加密/解密等操作都是在介质内进行运算,密钥文件不会被调出介质;使用完拔下证书存储介质,介质内的文件不会被保存在电脑上,因此用户不必担心被黑客控制或盗用。正是因为安全数字证书存储介质不可观察、不可复制的特点使得木马无法仿造,有效保障数字证书。
《中华人民共和国电子签名法》规定,“电子签名需要第三方认证的,由电子认证服务提供者提供认证服务”,即可信的具备法律效力的数字证书应当由依法成立的电子认证服务提供者颁发。在《电子认证服务管理办法》里规定,电子认证服务机构需依法具备从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员;具有固定的经营场所和满足电子认证服务要求的物理环境;具有符合国家有关安全标准的技术和设备等硬性指标,确保所签发出的数字证书数据经严格审查、真实可信,而合法CA第三方的中立立场也在技术和法律上保障用户权益。目前获得《电子认证服务许可证》、在网上安全电子交易中具有权威性和公正性的可信赖的第三方机构合法CA全国仅21家。
这类证书可能价格在100元左右,但获得了官方的专业认证,从安全性上得到了极大的保证。金融行业需进一步与第三方CA中心合作,才能彻底保证用户资金的安全。
(出处:http://www.sheup.com)