谁在窥探我的网银密码?
    2007-01-26    张佳    来源:《市场报》2007-01-26 16版

  目前,越来越多的人选择通过网上银进行投资,网上银行的安全问题成为受关注的焦点。其中,不同的密码输入方式,涉及到的密码泄露风险也完全不同。

直接输入:密码输入易被记录

  密码应怎么输入?大多数普通用户的下意识回答是“当然用键盘直接输入了!”
  目前网上银行包括使用电子证书强调安全性的专业版网上银行,普遍采用键盘输入密码。键盘输入密码无疑是最方便快捷的方式。但此种输入方式存在巨大的安全隐患,尤其在公共场合,很容易被恶意黑客软件窃取密码。
  据了解,目前有许多黑客软件会偷偷隐藏在电脑的操作系统中,记录用户操作电脑的所有按键,甚至可仅在特定软件启动执行后才开始记录。更有甚者,软件会自动将按键记录通过电子邮件发送给安插黑客软件的黑客。黑客利用收到的按键记录,对你登陆网上银行所使用的用户名和密码就一目了然了,有了上述条件,他们自然可登陆你的网上银行而为所欲为了。虽然在没有电子证书的前提下,他们还不能使用诸如转账这样的高级功能,但依旧可利用你的网上银行,进行一些其他的破坏活动。

静态模拟键盘:密码依旧能被偷窥

  为解决直接输入可能造成的密码泄露,部分网上银行采用了模拟键盘输入密码方式。和以往直接利用键盘输入密码不同,这种方式屏幕会弹出一个虚拟键盘,你必须用鼠标点击屏幕上虚拟键盘的对应键位,才能完成输入密码步骤。由于整个过程不涉及任何键盘操作,所以即使使用的电脑中不幸被植入黑客软件,软件也无法通过记录按键来偷取密码。虽然黑客软件同样也可记录鼠标移动的幅度和鼠标按键的顺序,但由于这些信息无法直接和密码对应,几乎是无效信息。
  当然,为了方便用户,许多银行在将虚拟键盘作为默认的密码输入方式时,仍允许用户点击某个按钮切换到键盘输入模式。这里建议读者,如果是在公共电脑上使用,切勿为了偷懒而切换到键盘输入模式,虽然省力,但隐患却太大。
  虽然利用模拟键盘可规避按键记录造成的密码泄露,但其仍存在安全隐患。为方便用户使用虚拟键盘,许多银行推出的都是静态虚拟键盘,其按键位置安排,与我们使用的键盘完全一致,尤其在仅需输入数字密码的场合,一般都模拟九宫式数字键盘。由于现在用户的屏幕越来越大,相应模拟键盘所占屏幕面积也越来越大,有心人只需在背后窥探密码输入时鼠标所在的屏幕位置,即使看不清楚具体点击的按键,却依旧可推测出你所按的键位。

动态模拟键盘:按键越小越安全

  为解决静态模拟键盘的安全隐患,又有部分网上银行采取动态模拟键盘来输入密码。相比静态模拟键盘,动态模拟键盘上的键位与常用的键盘并不相同,而且每个按键的位置都是随机决定,每次使用都不尽相同。通常的数字键盘采用动态键盘,你所看到的就不是常见的1234567890这样的键位顺序,而很有可能是3850872416这样排列顺序非常无厘头的键位顺序。
  每次完全不同而且毫无规律的动态模拟键盘,虽然在输入密码时需要寻觅一下具体按键的位置所在,但是对于周围不安好心的窥探者,通过窥视鼠标位置推断按键也几乎成为不可能。
  当然,同为动态模拟键盘,不同网银安全程度也有所不同,部分模拟按键设计的非常之大,使窥探难度大大降低;而部分则设计到使用者刚刚看到而已,使身边窥探难度极高。

  相关稿件