【IT168 信息化】

    中国银监会最近颁布的文件要求所有网络银行在进行高风险交易时，必须使用双因素身份认证技术进行身份的识别。

    6月29日，中国银监会颁布了《关于做好网上银行风险管理和服务的通知》（银监办发[2007]134号）（以下简称《通知》）的重要文件，要求各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。

    以往，国内许多网银为了争夺客户，很少提及网银面临的安全风险，甚至对转账等高风险的操作也没有要求任何安全措施，这给用户带来极大的安全风险。而这一文件的出台，不仅标志着中国的网银正在与国际接轨，也标志着中国的网银安全即将进入一个新的时代。

    网银安全令人担心

    经过多年的发展，目前，中国乃至全世界的各种商业银行，都建立了网上银行系统。中国的网银用户的数量同样发展迅速，但遗憾的是，比较起中国的上网人数来说，其所占比例并不高。

    iResearch公司最近的一份调查显示，近年来，网银用户在互联网用户中的总体比例不升反降，2007年比起2006年，网银用户所占比例由21.8%下降到21.7%，如图1所示。 

    
    图1 中国网上银行用户占互联网用户比例

    原因是什么呢？iResearch公司的调查显示，最主要的原因是对网银安全的不放心，持有这一观点的占被调查人数的68.1%，其次，认为网银注册太麻烦的占总体人数的34.7%，如图2所示。 

    
    图2 网民不使用网上银行的原因

    在这种情况下，采用各种技术手段以方便的方法保证网银的安全，成为各个商业银行必须采取的做法。而双因素身份认证技术，则再次成为网银安全的首选技术。

    双因素身份认证技术的比较

    事实上，各国政府对双因素技术都有清晰的认识，并从法律上进行了规定。2004年，新加坡金融管理局 (MAS) 提出规定，要求各银行在2006年12月之前为网银用户登录提供双因素身份认证；2005年，美国联邦金融机构监理委员会FFIEC (USA) 提出，合理实施的多重身份认证在应对网络欺诈威胁时更加可靠。而今年，中国银监会则开始要求网银加强用户身份管理，在2007年年底前对于高风险网上银行服务必须提供双重身份认证。

    那么，什么是双因素身份认证技术呢？

    双因素是密码学的一个概念，从理论上来说，身份认证有三个要素：

    第一个要素：需要使用者记忆的身份认证内容，例如账户和密码等。

    第二个要素：使用者拥有的特殊认证加强机制，例如数字证书、一次一密的动态密码、IC卡、磁卡等。

    第三个要素：使用者本身的唯一特征，例如指纹、虹膜、声音等等……

    一般人们登录网银只使用第一个要素，但它是一种不安全的方式。这种“用户名＋密码”的方式又被称为静态密码，会产生很多问题，比如为了维护密码安全性，一般要求使用相当长的长度，中英文数字夹杂、大小写间隔等，但这给使用者带来极大的记忆麻烦，于是，为了方便，许多使用者常常采用一些习惯用的数字，例如家人的生日、自己的生日、身高体重、电话或门牌号码等，只要利用黑客工具，如字典攻击法等等便能在短时间内将密码破解; 甚至只要有人在身后窥视便可探知密码; 而熟悉的人则很容易猜测到密码。

    因此，将其中两种要素结合则成为现在更安全的认证作法，这就是所谓的“双因素认证”，其可结合用户拥有的认证设备以及其已知的信息两个因素同时使用，就跟利用自动柜员机提款一样：使用者必需利用提款卡(认证设备)，再输入个人识别号码(已知信息)，才能提取其账户的款项。