【IT168 软件评论】网上银行在中国虽然还是一个比较新的概念，但已成为电子商务的最重要一环。去年以来，大量关于网上银行被盗的报道屡见报端，不法分子通过窃取用户的帐号和密码大肆盗窃资金或冒名消费。所以，如何保证储户的资金安全，一直是各家银行最关心、也最头疼的问题。随着木马、黑客、钓鱼网站等网络风险的越发泛滥，网银安全也变得越来越引人注目。

    首先我们要弄清一个问题，什么样的网上银行才算安全呢？也许你会说，最安全当然是资金绝对不会被盗。但事实上，电脑是不懂“盗”与“合法”的区别的，它只会按预定规则执行，只要有人发出符合规则的指令，它就会按程序执行。所以，如果你想真正实现绝对不被盗，除非你自己也无权操作。最安全的网上银行，应当是指外人无法骗过电脑，不能让银行系统把别人误认成你，包括身边人和银行的网络管理员在内。（当然了，如果管理员的权力大到能够直接修改数据库，那恐怕上帝的帐户也无安全可言了。）

    那么，我们当前正在使用的安全技术究竟能否保证用户的合法权限不被人冒用呢，且听我一一道来。

一、口令篇

    口令的使用由来已久，但木马的泛滥却让我们难以放心。据了解，从有木马的那天起，键盘记录便一直是必备功能。我们在输入帐号密码的同时，网络那头的“牧马人”也在悠闲地看着屏幕上的数字一个个弹出。后来出现的“网银大盗”更是具有了智能记录的本领，将黑客们从繁重的“盯梢”工作中解放了出来。

    为了解决键盘被记录的问题，网上银行纷纷推出了密码输入控件。这些控件使用了很多底层的驱动技术，可以在键盘按下的第一时间将键值捕获，并伪造一个虚假键值传给系统，从而使键盘记录软件失效。这听上去不错，但也并非无懈可击，如果黑客修改“肉鸡”的域名解析，将用户引到一个伪造页面上去，那就可以轻易绕过控件的限制了。更何况，并非只有银行才拥有这种驱动技术，只要黑客愿意，他完全有可能将木马的优先级提到比银行控件还要高。

    虽然口令的脆弱性已引起了很多银行的注意，但目前仍有一些服务是采用这种安全手段的，尤以信用卡领域为甚。虽然各银行都说这是与国际接轨，但在真正建立起与国际接轨的ChargeBack规则之前，这种风险还是少冒的好。