招行网银的安全性分析之我见

【招商银行信用卡】网友提问：

招行网银的安全性分析之我见

因为还算是IT人士，所以深知在网络上没有任何东西是绝对安全的道理，所以对网上银行一直避之不及，不过最近研究了一下招商银行的网上银行机制，发现其实从纯粹安全性的角度讲，开一个UKEY然后不用，从理论上讲是最安全的，下面是我的分析：大家可能会说，我不开网上银行，不是最安全不过的吗？我看不然，因为招商银行的一卡通可以在网上开通大众版，然后可以进行网上支付和转帐（？），所以只要别人知道你的卡号和取款密码就可以帮你在网上开通大众版，然后将资金转移出去，而无需到柜台去（暂且认为这种方式是安全的），至于卡号和密码，只要想知道，应该还是不难的，但是不是说知道卡号和密码就可以复制出一张一卡通来，因为卡里面还有根据你的身份信息生成的信息，仅仅知道卡号和密码是很难复制出一张卡来的。如何知道卡号？取款单、办业务上的单据、银行内部人员、网络/电话钓鱼等等，这些方法都可以知道，如何知道密码？用密码字典在网上暴力破解，一般情况下也不是难事，也有相应软件支撑，只是代价可能比较大，但是如果知道你的资金比较多，代价大也是划得来的，知道卡号和密码之后，网上帮你注册一个大众版，每天5K转出去，加上招行的理财秘书短信经常不灵（

卡友回复：

lz在IT界混什么的阿？

卡友回复：

大众版转帐只能是对前台签了协议的帐户转帐，因此大众版唯一的漏洞是网上支付...

卡友回复：

强烈希望能够允许在前台关闭网上支付功能，这样就爽了。

卡友回复：

照楼主所讲KEY也是不安全的,只有短信验证码或动态密码才是安全的?

卡友回复：

另外提醒一下CMB的大众版是没法把钱转出去的，转来转去还在自己名下。唯一可行的就是网上支付。此外对网上银行进行暴力破解密码？输错几次好象就锁了吧。楼主到底对网银熟悉吗？

卡友回复：

记得大多数网银的输入密码界面是有控件的，以前也讨论过木马截获的可能性，记得是可能性不大。请了解的出来讲讲。此外网上银行的登录密码一般不是取款密码，只知道登录密码也是取不了钱的。

卡友回复：

控件安全性怎样？一直想问

卡友回复：

对于观点：照楼主所讲KEY也是不安全的,只有短信验证码或动态密码才是安全的?

手机短信也不安全，高手可以把你手机信号给劫持了，呵呵。

卡友回复：

谁家的UKey有128MB的？我赶紧买个去！亏得LZ还敢说是混IT的，UKey的容量都是以KB计算的！

卡友回复：

好像理财秘书是可以在网上而无需到柜台去更改手机号码的？只能在柜台改～～

卡友回复：

看到第五行就没必要看下去了
对网银一点都不了解，就分析网银，呵呵。

偶尔瞥见128m的移动证书，唉，我也想知道楼主在it界混什么的

卡友回复：

对于观点：另外提醒一下CMB的大众版是没法把钱转出去的，转来转去还在自己名下。唯一可行的就是网上支付。此外对网上银行进行暴力破解密码？输错几次好象就锁了吧。楼主到底对网银熟悉吗？

锁定好像只是几分钟的？如果长时间或者需要到柜台解锁估计不太现实，会导致恶意攻击，当然暴力不是纯粹的暴力，需要用密码字典，简单的比如生日号码之类的。

卡友回复：

对于观点：好像理财秘书是可以在网上而无需到柜台去更改手机号码的？只能在柜台改～～

我的专业版好象可以在网上改，登记肯定是在网上首次登记的。也不叫理财秘书

卡友回复：

对于观点：谁家的UKey有128MB的？我赶紧买个去！亏得LZ还敢说是混IT的，UKey的容量都是以KB计算的！


原来我对128M的容量也有怀疑，不过这好象是之前在网上找到过一家生产UKEY的厂家宣称的，个人认为不排除招行会选择容量大一些的UKEY以供后续扩展使用，几KB和128MB的容量成本上不会差别太大

哪位达人可以确认一下招行UKEY的存储容量？

卡友回复：

对于观点：记得大多数网银的输入密码界面是有控件的，以前也讨论过木马截获的可能性，记得是可能性不大。请了解的出来讲讲。此外网上银行的登录密码一般不是取款密码，只知道登录密码也是取不了钱的。

控件不安全

卡友回复：

招行的弱点不在这里。招行的弱点在于这大众版开通之后可以通过密码网付。

卡友回复：

≤64Kb

卡友回复：

对于观点：

手机短信也不安全，高手可以把你手机信号给劫持了，呵呵。

以前问过朋友，他做3G的，说3G有比较好的加密，2G就不知道了，以前电子市场流行过可以窃听手机的，后来没了声息，估计是假的。但是联通好像说自己的CDMA才是安全的，所以2G应该有漏洞

卡友回复：

对自己没信心，胆小的人不适合用网银

对于观点：照楼主所讲KEY也是不安全的,只有短信验证码或动态密码才是安全的?
不，都不安全，万一行动电话被偷呢？万一动态密码卡之类的被偷呢？万一被绑架强行说出密码不说就撕票呢？:p

对于观点：另外提醒一下CMB的大众版是没法把钱转出去的，转来转去还在自己名下。
可以转到其他银行的卡上的，不过，必须自己去柜台签协议，签了哪张卡就只能对哪张卡转，别的不行，嘿嘿！:lol: