ICBC U-Shield와 중국 은행 E-Token에 대한 분석은 다음과 같습니다.
현재 클라이언트 측 온라인 뱅킹 보안 도구에는 주로 디지털 인증서, 동적 비밀번호, 그리고 휴대폰 인증. 널리 사용되고 보안 수준이 높은 디지털 인증서는 일반적으로 USBKey(일반적으로 "U-shield"로 알려짐)에 저장됩니다. 사용자가 거래를 위해 은행 웹사이트에 로그인할 때 컴퓨터에 Ukey를 삽입하는 것은 은행에 "온라인 ID 카드"를 보여주는 것과 같습니다.
UKey 하드웨어 자체에는 은행 카드 비밀번호와 동일한 PIN 코드가 있습니다. 사용자가 UKey를 컴퓨터에 삽입하면 PIN 코드를 입력한 후에만 사용할 수 있습니다. 동시에 UKey 인증서에는 사용자의 신원 정보가 포함될 뿐만 아니라 사용자에게 고유한 또 다른 특수 데이터 정보도 포함되어 있습니다. 이는 학문적으로 "개인 키"라고 하며 사용자 자신에게 고유하고 고유합니다. 각 사용자에게 동일합니다. 사용자가 온라인 뱅킹에서 거래를 할 때마다 거래의 주요 정보가 USBKey로 전송되고 USBKey에 전자적으로 서명됩니다. 간단히 말해서, USBKey가 사용자 손에 있는 한 해커가 비밀번호를 가로채기 어렵고, 성공하더라도 전송을 완료하기가 어렵습니다. 중국초상은행[11.77 1.82% 주식바 조사보고서], 중국공상은행[4.11 0.74% 주식바 조사보고서] 등에서는 현재 USBKey 기반 보안툴을 사용하고 있다.
중국은행은 사용자의 온라인 뱅킹 보안을 보호하기 위해 동적 비밀번호를 사용하기로 결정했습니다. 동적 비밀번호는 한 번만 사용할 수 있는 비밀번호입니다. 이 동적 비밀번호의 원리는 특정 계산 방법을 통해 사용자에게 임의로 변경되는 비밀번호를 생성함과 동시에 은행에서도 동일한 비밀번호를 생성할 수 있다는 것입니다. 사용자는 이 비밀번호를 사용하여 로그인합니다. 온라인 뱅킹을 할 때 두 비밀번호를 비교하여 일치하면 인증이 통과되었으며 사용자는 다음 단계로 진행할 수 있습니다.
BoC의 'E-Ling'은 실제로 중국 은행이 출시한 하드웨어 동적 비밀번호 토큰인 '전자 동적 비밀번호 생성기'입니다. 내장된 전원 공급 장치, 비밀번호 생성 칩 및 디스플레이 화면으로 구성되어 있으며, 특별한 계산 규칙에 따라 동적 비밀번호가 60초마다 자동으로 업데이트되므로 사용자는 온라인 뱅킹의 안전을 보장하기 위해 60초 이내에 비밀번호를 입력해야 합니다. 운영. 그러나 이번 온라인 뱅킹 사기에서는 대부분의 사례가 '중국 은행 전자 주문'을 사칭하고 있습니다. 많은 사용자들은 동적 보안으로 알려진 '중국 은행 전자 주문'이 이제 사기인지 의문을 제기했습니다. 이름으로만.
중국은행 직원은 개인 온라인 뱅킹 계좌에 대해 중국은행이 취한 보안 예방 조치가 국가 관련 부서로부터 안전하고 신뢰할 수 있는 것으로 인정받았다고 답했습니다. 사기는 주로 사용자가 가짜 웹 사이트에 로그인하여 비밀번호 및 동적 비밀번호를 속일 때 발생합니다. 이는 온라인 뱅킹 자체의 설계와는 관련이 없습니다.
아마 아닐 겁니다.
먼저 중국 은행의 온라인 뱅킹 보안 시스템을 살펴보겠습니다. [2.96 1.02% 주식 바 연구 보고서] 현재 대부분의 은행은 다중 요소 및 다중 채널 인증 방법을 채택하고 있습니다. 보안 수준도 높은 수준으로 설정되어 있습니다. 그러나 중국은행 온라인 뱅킹에서 대규모 '피싱 사건'이 발생했을 때 보안 수단으로 동적 비밀번호만 선택할 수 있었다. 보안 보호 조치는 비교적 간단했고, 얼마 전엔 SMS를 추가했다. 많은 고객이 의문을 제기한 인증 링크입니다.
중국은행 온라인 뱅킹에서 홍보하는 동적 비밀번호 보안 도구를 살펴보겠습니다. 중국금융인증센터 전문가들은 동적 비밀번호는 매번 변경되지만, 이 변경에는 여전히 일정한 시간이 있다고 생각합니다. 일반적으로 동적 비밀번호는 1분 이내에 적용됩니다. 그리고 범죄자들에게 기회를 준 것은 바로 이 짧은 순간이었습니다. 위에서 언급한 피해자 중 몇몇은 동적 비밀번호에 대한 불만을 표명하기도 했습니다. "숙련된 사람이 전체 범죄 절차를 완료하는 데는 1분이면 충분합니다. 보안 도구인 동적 비밀번호는 그 자체로 문제가 있습니다."
그러나 Bank of China와 같이 동적 비밀번호를 사용하는 유일한 국내 주류 은행인 China Everbright Bank [3.08 1.65% Stock Bar Research Report]의 온라인 뱅킹은 항상 사용자들 사이에서 좋은 평판을 얻었으며 유사한 피싱 웹 사이트 공격 사건이 자주 발생합니다. 희귀한. 이름을 밝히고 싶지 않은 업계 전문가는 동적 비밀번호가 문제가 아니라 중국은행의 동적 비밀번호 설계에 명백한 허점이 있다고 밝혔다.
중국 Everbright Bank의 동적 비밀번호 생성기는 Sunshine Token이라고 합니다. 사용자는 로그인 시 임의의 비밀번호를 입력해야 하며, 송금 시에도 미리 설정된 이체 비밀번호를 다시 입력해야 한다고 말했습니다. 보호 라인은 보안을 보호합니다.
과거 중국 은행의 온라인 뱅킹에서는 비밀번호만 입력하면 송금이 완료되었습니다. 피싱 웹사이트에 의해 가로채거나 비밀번호가 분실되면 고객 계좌의 보안을 보장하기가 어렵습니다.
중국은행 직원은 개인 온라인 뱅킹 계좌에 대해 중국은행이 취한 보안 예방 조치가 국가 관련 부서로부터 안전하고 신뢰할 수 있는 것으로 인정받았다고 답했습니다. 사기는 주로 사용자가 가짜 웹 사이트에 로그인하여 비밀번호 및 동적 비밀번호를 속일 때 발생합니다. 이는 온라인 뱅킹 자체의 설계와는 관련이 없습니다.
아마 아닐 겁니다.
먼저 중국 은행의 온라인 뱅킹 보안 시스템을 살펴보겠습니다. [2.96 1.02% 주식 바 연구 보고서] 현재 대부분의 은행은 다중 요소 및 다중 채널 인증 방법을 채택하고 있습니다. 보안 수준도 높은 수준으로 설정되어 있습니다. 그러나 중국은행 온라인 뱅킹에서 대규모 '피싱 사건'이 발생했을 때 보안 수단으로 동적 비밀번호만 선택할 수 있었다. 보안 보호 조치는 비교적 간단했고, 얼마 전엔 SMS를 추가했다. 많은 고객이 의문을 제기한 인증 링크입니다.
중국은행 온라인 뱅킹에서 홍보하는 동적 비밀번호 보안 도구를 살펴보겠습니다. 중국금융인증센터 전문가들은 동적 비밀번호는 매번 변경되지만, 이 변경에는 여전히 일정한 시간이 있다고 생각합니다. 일반적으로 동적 비밀번호는 1분 이내에 적용됩니다. 그리고 범죄자들에게 기회를 준 것은 바로 이 짧은 순간이었습니다. 위에서 언급한 피해자 중 몇몇은 동적 비밀번호에 대한 불만을 표명하기도 했습니다. "숙련된 사람이 전체 범죄 절차를 완료하는 데는 1분이면 충분합니다. 보안 도구인 동적 비밀번호는 그 자체로 문제가 있습니다."
그러나 Bank of China와 같이 동적 비밀번호를 사용하는 유일한 국내 주류 은행인 China Everbright Bank [3.08 1.65% Stock Bar Research Report]의 온라인 뱅킹은 항상 사용자들 사이에서 좋은 평판을 얻었으며 유사한 피싱 웹 사이트 공격 사건이 자주 발생합니다. 희귀한. 이름을 밝히고 싶지 않은 업계 전문가는 동적 비밀번호가 문제가 아니라 중국은행의 동적 비밀번호 설계에 명백한 허점이 있다고 밝혔다.
중국 Everbright Bank의 동적 비밀번호 생성기는 Sunshine Token이라고 합니다. 사용자는 로그인 시 임의의 비밀번호를 입력해야 하며, 송금 시에도 미리 설정된 이체 비밀번호를 다시 입력해야 한다고 말했습니다. 보호 라인은 보안을 보호합니다. 과거 중국 은행의 온라인 뱅킹에서는 비밀번호만 입력하면 송금이 완료되었습니다. 피싱 웹사이트에 의해 가로채거나 비밀번호가 분실되면 고객 계좌의 보안을 보장하기가 어렵습니다.