2007亚洲电子金融及信息安全高峰论坛日前在沪召开,中国金融认证中心(CFCA)总经理李晓峰披露,国内网上银行用户的安全防范意识急待增强,至今,采用官方认可的第三方认证机构提供的数字证书的网银用户人数还不到总量3%。绝大部分网银用户仍使用"用户名+密码"这一安全级别最低的交易方式,这是导致国内网上银行交易安全漏洞存在的主要因素。
本次论坛会聚了我国电子金融和信息安全两大领域的多名专家学者,各方专业人士达成了这样的共识:目前仍被广泛应用的"用户名+密码"网银交易方式,应尽早转型为安全级别更高的动态密码或数字证书模式,同时,"用户名+密码"的交易模式在支付上应受到严格限制。目前,国内相关法规规定:不采用数字证书的网上交易,单笔交易金额不得超过1000元,全天交易总额不得超过5000元。
李晓峰认为,应该要求国内银行在网上银行业务方面必须采用双重身份认证,逐步禁止采用"用户名+密码"的支付方式。
据李晓峰介绍,截止2007年6月31日,我国网民人数已达1.62亿人,其中宽带上网网民人数为1.22亿人,网银用户逾7000万。同时,网银的发展对传统银行柜台交易的替代率,已占交易笔数的25%,交易金额的38%。但基于互联网的网银天生就具有不安全的特性,因此,网银用户的安全篱笆必须扎紧。
据介绍,目前,网络安全案件、纠纷不断,网银"黑客"最新行为特点已由先前的个体化、非盈利目的、以炫耀技巧型为主,转变为当前的以谋利图财为目的、团伙、产业化的犯罪行为。李晓峰披露,目前国内已经发生"动态密码"被破解的案例,犯罪分子通过拦截动态密码的账号和口令,告知用户登录失败,然后通过网站直接转移资金。
目前,网上银行交易认证分为"用户名和密码"、"动态密码"、"生物识别"以及"数字证书"四类,业内公认,数字证书是其中最安全的。至今,网银领域尚未出现一例因数字证书安全机制被攻破而使用户资金受损的案件。不过,李晓峰透露,目前,国内银行在推广由第三方认证机构提供的数字证书方面进展较缓慢,绝对数量及占比很低。部分银行甚至在网银交易上只采用动态密码的认证方式,安全隐患较大。