招行 工行 建行 兴业 网银安全性比较（2）

　　建设银行:防不专业的用户却不防小人

　　建设银行，建设银行同工行比较。建行把“宝”压在文件证书上面，因为文件证书的存在，一下子抬高了使用门槛。但是建行的证书下载和备份有一个最大的问题，就是一旦电脑被别人窃取(或者短时间控制)，对于一个普通的计算机操作人员，都可以很容易通过ie把用户证书备份出来，这个备份过程并不需要密码等支持。说的极端一点，建行的证书模式等于洞门大开!只要某一天，你开着电脑，上厕所的时间，另外一个人就可以备份走你的建行电子银行的证书。而自己的证书一旦丢失，又得上建行重新申请。有点防君子不防小人的味道。

　　如果要盗窃建行用户的电子银行钱款，最好就是亲近的人，直接获取到证书，然后用望远镜或者摄像头，直接窃取密码，就可以轻松转走钱款。(这里补充一句，工行还设定了口令卡转款最高上限，建行的上限却是无穷大!)，或者利用黑客技术(这里面的技术我就不懂了)，盗用证书后，并盗用密码，也可以转走钱款。所以当你听说国内电子银行最高被盗上限是16w，储户来自建行，我觉的一点都不奇怪。

　　另外建行也提供口令卡，但是不够彻底的是，口令卡要2块钱(原来要5块)，建行看来果然贪财。同时设计上，建行的口令卡只能用29次。而且是顺序排列，加上没有预留信息，直接给钓鱼网站一个机会。假如钓鱼网站诱惑你成功登陆后，就直接获取了你的账号(或者登陆名)、登陆(查询)密码。如果你对自己的钱款余额不太关注，可以诱骗你刮一次口令卡，然后盗窃团伙直接用这个口令卡上的口令就可以轻松搞定你户头所有的钱。

　　综述:不建议有大额存款的人开建行的电子银行。如果有开，看紧你的电脑，也要看紧你的口令卡，还要关心你自己的余额。

　　这里再解释一下，工行和建行对钓鱼网站的防御能力的区别。工行有一个预留信息，这个信息只有你自己知道。所以你登陆钓鱼网站，钓鱼网站无法提供你的预留信息，那么这一步上能够避免细心的用户被盗。同时，在使用口令卡过程时候，钓鱼网站最多只能获得工行口令卡里面某两个框框的3位加3位的密码，而盗窃团伙即使拿到利用盗窃到的账号密码到真工行上时候，由于只有随机两个框的密码，正常情况下都不能符合工行的需要验证的密码框位置。所以钓鱼网站无法窃取工行账户的钱。

　　但是建行就不一样了，首先没有预留信息。除非你从自己余额上知道自己登陆错误，否则很难发现你错登陆了钓鱼网站。然后盗窃团伙窃取到你的口令卡，直接就可以在真实建行上使用了。这个区别就是工行的口令卡是要随机取两个方块的密码组合起来，而建行就是直接依据固定顺序，没有随机。

　　我自己现在对建行卡的态度就是，如果超过一定额度，立刻就转到其他银行卡上。而且我估计，未来建行还会发生大额存款丢失的事件。

　　兴业银行:最安全的不是手机

　　兴业银行在电子银行里面是“新兵”。估计该行的用户群和使用范围同招行、工行、建行比都少一个数量级都不止。

　　虽然兴业提供文件证书作为安全模式，但是和所有大银行不同的是，文件证书必须交20元年费。所以到现在为止，我还没有亲身试用兴业银行带证书模式的服务，我体验到的模式是兴业通过手机短信来确认最后密码。具体如下:用查询号码登陆，转账时候，输入取款密码，同时兴业会发送一条短信到用户手机上，这个短信里面包含了一次性的验证密码。不少人认为同手机关联的模式是最安全的，其实不然，我专门咨询过一个地级市的移动工作人员，问他们的技术人员能否看到用户的短信，对方给我一个非常肯定的答复。如果一个地市级别(不是省级)的移动工作人员就能看到所在区域某手机的短信，这个安全性立刻大大打折扣。兴业银行在转资金时候，还要有取款密码，这一点上，比工行、建行要好。(工行、建行如果有口令卡，转款时候可以不要原来设置的取款密码)

　　兴业电子银行最大的破绽我个人认为集中在手机上。因为丢手机，或者说，盗窃团伙偷手机还是比较轻松的，对于gsm还可以直接复制手机卡!就是说，盗窃团伙在定准一个人的兴业e卡电子银行，在套取到查询密码后和取现密码(这个密码因为用的少，安全性相对较高)，只要有几秒钟控制用户的手机，或者能够复制用户的gsm手机，或者能够进入移动的网关，看到手机的短信记录，下面就可以成功盗走所有现金。

　　综述:兴业电子银行，看紧取款密码比看紧手机更重要。因为手机时刻都有可能被盗阅读，甚至gsm手机很容易被监听。建议用户使用兴业电子银行时候，每日的转账上限还是适当保守一点为好。

　　恒生银行:外资盛誉下的弱安全性

　　恒生是港资。我只是替别人操作恒生的账户。恒生提供web版本。如果只从投资买卖股票方面考量，恒生的安全性最低，只要用户名密码正确，就可以操作买卖港股。甚至没有取款密码做第二次校验保障。

　　但是恒生对于存款5000元以上的用户，如果你愿意申请，可以免费获得一个数字口令密码器(恒生起的名字是“保安编码器”)。这个编码器同我们国内最流行的 u盾(ukey)不一样，它不是usb插口，而是物理上完全独立电脑，只是提供一个按钮，按钮上有数字。每次按钮，可以活得随机的数据。(具体介绍地址: http://www.hangseng.com/hsb/chi/onl/sec/nsm/index.html)可以说，这个“保安编码器”最基本的原理同工行的口令卡一致，比口令卡优势就是可以使用无数次，比口令卡劣势就是，如果窃贼直接偷偷按了一下“保安编码器”的按钮，然后把随机数(保安编码数)直接抄走，用户根本不知道。(口令卡因为有刮开这个过程，所以，相对容易觉察是否有人盗刮)。

　　我认为这个模式是不安全的。因为不能确保盗号能够被发现。

　　原来一直宣传外资银行如何好，假定不考虑服务质量，我个人觉的外资银行(以恒生银行标准来看)的电子银行安全性远不如国内的招行和工行，兴业。安全系数同建行差不多。唯一可取的是愿意免费提供成本较高的“保安编码器”，但是恒生也只对存款达到一定额度的用户才提供。

　　我个人并不认为，恒生银行如果进入大陆发展，他的电子银行并有什么优势可言。(暂定不考量其他功能和其他优势)

　　最后讨论一下现在认可度比较高的u盾(或者u key)。【usb口的电子银行移动证书】

　　如果有ukey(u盾)，在资金发生流动时候，必须插入这个硬件，同时搭配密码。(招行还需要登陆密码，取款密码，加ukey，比其他行多一个取款密码，安全性最高)。同现在广泛应用的口令证书相比，安全性更高，没有口令卡的盗刮、影印问题。而且一旦丢失，用户很容易发觉。同时不像手机，有人接触ukey，估计用户警惕性要比接触手机要高。(我看到开会时候，大家都在互相玩对方手机，那时候，手机短信密码安全性我想大打折扣)。Ukey(u盾)最大的问题在于成本，一个需要70元左右，这个价格导致推广起来困难重重。

　　【关于移动电子钥匙的文章，建议阅读“月光博客”的相关博文】

　　综述，如果你有很多银行账户需要打理，建议，你存款最多的银行，还是掏钱买一个ukey(u盾)为好。要不，真的大热天跑一次银行，成本不会比70元少多少。

　　最后说一个题外话:国内工行(或者建行)在电子银行被疯狂盗窃情况下，利用口令卡，并付之实时，确实成本低廉。而且该模式是同电脑硬件完全隔离，安全性大大提高。口令卡是工行(或者建行)对国内电子银行的最大贡献。