目前，市场上常用的双因素认证技术有：数字证书(也叫CA证书)、动态密码（刮刮卡属于动态密码的一种）和生物识别技术。

    这几种技术各有优缺点。

    数字证书目前分两种：软件证书和USB Key硬件数字证书，这是目前中国的大多数商业银行采取的安全技术。软件数字证书使用虽然简单，但已经被证明有安全漏洞，一旦软件数字证书被人拷贝走，就面临很高的安全风险。目前中国的商业银行已经决定放弃软件数字证书。硬件数字证书被认为是非常安全的技术，也是被中国的商业银行大力采用的技术。但其最大的问题是使用起来很麻烦，人们必须携带USB Key，插入电脑中才能工作。对一些型号稍微老一点的桌面电脑来说，USB端口在主机的后面，拔插USB Key非常不方便。此外，USB Key的后台管理还存在一些难题，如在运行电子证书服务时，管理员权限过大；不同银行的方案有所不同，这样用户需要去熟悉各种不同的方案，造成了进一步的不方便。

    动态密码技术是一次一变的密码技术，采取时间同步或事件同步的方式，让用户手中的令牌获得的密码与网银后台中的密码保持一致。这种双因素认证方式安全、高效，并且使用起来也很方便，逐渐被银行和用户接受，目前，这种方式已经在国外以及中国的香港、台湾地区的银行中获得了广泛的应用，并且，也逐渐被中国内地的银行接受。中国工商银行不久前推出的刮刮卡、矩阵卡，就是动态密码的一种类型。为了方便使用，某些银行还可通过手机短消息的方式提供动态密码。虽然安全，但动态密码方式也存在一个巨大的难题:一个人不可能只有一家银行的账户，在这种情况下，人们可能拿着多家银行的动态密码令牌，这依然造成了巨大的不方便，如何将各种不同的令牌统一起来，是银行面临的下一个课题。

    生物认证技术从理论上说是更安全的网银安全技术，但从现实角度出发，这需要在每个计算机终端上安装生物识别读卡器，在目前的环境下，显然是做不到的，因此，它可能是未来的保护网银安全的技术，但在目前，它缺乏实用性。

    各种网银双因素身份认证技术的比较如图3所示

    
    图3 网银各种双因素身份认证技术对比

    中国香港银行的做法

    网银采取什么安全措施，完全决定于商业银行自身。这里，我们讲讲中国香港的银行采取的做法。他们在网银方面比起内地发展要快一些，因此，其采用的安全技术，对内地的网银具有借鉴意义。

    目前，香港的银行已经采纳了3种双因素认证方案:数字证书 (由香港邮政局颁发的电子证书 eCert)、产生一次性密码（OTP）的电子设备(动态令牌)以及包含一次性密码（OTP）的短消息 (SMS-OTP)服务。

    在香港，多数银行都采用了数字证书的双因素认证方式。但由于香港的数字证书发放比较早，由于许多用户的电脑还比较陈旧，应用起来不方便，采用该项技术的人在逐渐减少，而颁发CA证书的香港邮政局也因为用户的减少而退出了CA服务，将该服务外包给另一家第三方服务提供商，这样用户更加不放心，因此，采用CA证书的网银用户在逐渐减少。香港银行采用各种网银安全技术的情况如图4所示。

   
    动态密码令牌在这种情况下开始流行。它的优势在于，可降低欺诈和身份窃取的风险，随时随地提供，不受地域限制；可简化消费者的认证步骤；易于使用，响应快速。例如，中国建设银行亚洲分行（前身为美国银行的亚洲分部）就采取了这种方式。

    在双因素身份认证技术的用法上，香港的一些银行并不一样，比如，汇丰银行采取了在一进入网银时，用户就进行双因素认证的做法。而其他的一些银行，比如建行亚洲分行，则采取相反的做法，只在3个高风险的交易中才采用双因素认证，其他业务依然采用单因素身份认证。这三个业务是: 一是没有登记的转账，就是把钱从自己的户口转到第三者的户口，这个户口如果没有登记，就要用双因素认证才可以把钱转过去；二是做海外的汇款；三是信用卡交易。

    这两种用法各有利弊。前者可以保证所有业务的安全，但用户如果在此环境下长期挂在网上，容易被黑客入侵，反而增加了安全风险；后者在日常查询、浏览时安全性稍差，但即使这时网银被攻破，资金账户的安全还是有保证的，因此，笔者认为后者是更安全的一种做法。

    此外，对于目前人们容易上当受骗的“钓鱼”网站，香港的银行也有很简单有效的防护方法，这就是与网银客户达成一个简单的小秘密：一旦用户登录进入网银，就弹出一个用户早已经提交的图片，比如家人、宠物、孩子、汽车等的照片，而“钓鱼”网站是不知道这些小秘密的，从技术实现来说也并不困难。通过这个小小的技巧，就有效地预防了“钓鱼”攻击。

    目前，中国内地的许多银行采用的是数字证书的双因素认证方式。由于内地的电脑均比较新，USB端口也逐渐从设备的背后移到前面，再加上信息产业部正在大力推进数字证书的发展，因此，数字证书有可能在内地比香港更加流行。预计未来数字证书和动态密码将成为两种主流的网银双因素认证方式。

    链接一:什么是双因素认证？

    双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用，预先注册在银行的本人用户名及口令/密码；附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息（物理介质或电子设备等）。附加身份认证信息应不易被复制、修改和破解。

    从技术上来说，附加身份认证包括数字证书（USB Key）、动态密码（令牌、指纹、密码卡、刮刮卡）、生物认证（虹膜、指纹等）。

    链接二:如何界定网银高风险交易？

    《通知》规定，商业银行可根据业务发展需要和风险控制要求对本行网上银行高风险账户操作进行具体界定。高风险账户操作应至少包括：向非本人（不含与本行签订业务合作等法律协议和客户预先约定的指定账户，如：代收费、第三方支付、贷款还款账户等）账户转移资金单笔超过1000元或日累计超过5000元。对于身份认证强度相对较弱的网上银行账户操作，商业银行应充分评估风险，相应进一步采取控制措施（如：限制资金转移功能、限定资金转移额度等）进行有效防范。商业银行还应积极研发和应用各类维护网上银行使用安全的技术和手段，保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。