三、动态密码篇

    动态密码是一种虽然原始，但比较安全的做法，目前主要有“电子口令卡”、手机短信验证和动态密码锁三种。动态密码的实质是密码与计算机的分离，在执行交易时，用户不仅需要输入帐户密码，还需要输入一个来自外部的动态密码。这样一来，即使黑客在用户的机器上种了木马，也无法在密码使用前将其获得，而且由于外部密码是一次性的，所以等黑客得到它时，密码已经失效了。

    市面上最常见的动态密码应当是以工行为代表的“电子口令卡”。用户在交易时，系统会给出两个坐标，用户从手中的口令卡上查到坐标对应的数字并填进去就可以了。理论上，这些坐标可以有6400种组合，所以黑客是很难猜准的。然而，这个东西的缺点也很明显——防不住家贼，现在照相手机那么流行，如果有人趁你不备将卡片偷拍一下，你的帐户就无处遁形了。

电子口令卡

    手机短信验证是一款比较有中国特色的产品，每次交易前，由系统将验证码以短信的形式发给用户，从而实现动态密码的功能。这种方式比“电子口令卡”要安全一些，但发送短信需要一定的成本，用户又不愿负担，所以各银行往往只对大客户开放，短期内尚难进入寻常百姓家。而且，现在手机卡也并非不能复制，根据网上搜索的消息来看，手机离身超过5分钟，就有可能被复制了，所以这也不是一种理想的安全手段。

动态密码锁

    目前最安全的动态密码是动态密码锁，这是一种专用的硬件设备，会随时间和帐号的不同而生成不同的动态密码，而且硬件不可复制，一旦丢失可立刻向银行通报，从而保证资金安全。不过，由于动态密码锁是单匙加密，亦即服务器和客户端采用了同样的加解密算法，所以不具有双匙加密那样的不可抵赖性，一旦资金失窃，很难分清到底是银行的责任还是用户的责任。