警告!多數銀行網站不夠安全

發表:2006-04-24 02:42
手機版 简体 打賞 0個留言 列印 特大

如果你是線上銀行的顧客,下次在登入銀行網站時可能要多加注意了,因為美國有許多熱門的銀行網站已經無心地把客戶置身於線上竊賊犯案對象的風險中,這時一位頗具聲譽的網路安全專家日前提出的警告

根據IDG新聞社4月21日的報導,銀行網站的安全問題出在於用戶登入區。例如大通銀行(Chase)網站和美國運通(Americanexpress)網站都要求用戶鍵入帳號與密碼。「鍵入的資料雖然可以加密,但是並未利用鑒識技術來作身份辨認。」美國系統網路安全協會(SANS Institute)的首席研究員Johannes Ullrich 說道。

有一種較安全的作法是,強迫用戶登入有加密處理的網頁HTTPS。這種網頁採用SSL(Secure Sockets Layer)安全加密技術,不只進行資料加密,也提供數位認證,來確保登入網站的真實身份。

Ullrich 說,如果登入的不是 HTTPS格式的網頁,你實在無法確定該網頁是否是真的。因為,沒有使用這種安全連結的網頁很容易遭受到所謂「DNS spoofing(域名解析服務欺騙)」的攻擊,它會利用偽照的數字形式的網址,騙過域名解析伺服器而讓用戶進入虛假的網站。

不過,這種攻擊需要一些技術。所以,駭客多半喜歡改用「網路釣魚」(phishing)的手法,直接讓用戶受騙而透露帳號與密碼。這種方式更為簡單。

可是,即使如此,銀行網站也實在沒有什麼理由放任用戶透過不用SSL加密協定的網頁來登入。

SANS編撰了一份各銀行的匯總資料,列示了是否採用SSL加密的登入網頁。其中,需要SSL協定認證的銀行網站包括︰Capital One 銀行、花旗集團(Citigroup)與富國銀行(Wells Fargo & Co.)。

美國銀行(Bank of America Corp.)也不使用 SSL加密的登入網頁。但用戶在登入網頁時只要鍵入「線上身份識別碼(online ID)」,而不必提交密碼。隨後,銀行網站把資訊傳送到HTTPS網頁,利用所謂SiteKey的技術來確認該顧客的身份,同時也以此確保所登陸的網站是真實的。

一般說來,銀行網站會把是否使用 SSL登入當作是一個選項,但是該選項很難找到。找到HTTPS網頁有個小技巧。Ullrich介紹說,就是在銀行網站的首頁故意鍵入錯誤的帳號或者密碼,在這種情況下,銀行網站通常會讓用戶連結到需要SSL登入的網頁了。這時,瀏覽器 Firefox 和IE會在螢幕右下方出現一個黃色小鎖的圖標。

短网址: 版權所有,任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。



【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用,成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。
榮譽會員

歡迎給您喜歡的作者捐助。您的愛心鼓勵就是對我們媒體的耕耘。 打賞
善举如烛《看中国》与您相约(图)

看完這篇文章您覺得

評論


加入看中國會員

捐助

看中國版權所有 Copyright © 2001 - Kanzhongguo.com All Rights Reserved.

blank
x
我們和我們的合作夥伴在我們的網站上使用Cookie等技術來個性化內容和廣告並分析我們的流量。點擊下方同意在網路上使用此技術。您要使用我們網站服務就需要接受此條款。 詳細隱私條款. 同意