【大纪元4月24日讯】(大纪元记者李景和编译)如果你是线上银行的顾客,下次在登入银行网站时可能要多加注意了,因为美国有许多热门的银行网站已经无心地把客户置身于线上窃贼犯案对象的风险中,这时一位颇具声誉的网路安全专家日前提出的警告。
根据IDG新闻社4月21日的报导,银行网站的安全问题出在于用户登入区。例如大通银行(Chase) 网站和美国运通(Americanexpress)网站都要求用户键入账号与密码。“键入的资料虽然可以加密,但是并未利用鉴识技术来作身份辨认。”美国系统网络安全协会(SANS Institute)的首席研究员Johannes Ullrich 说道。
有一种较安全的作法是,强迫用户登入有加密处理的网页HTTPS。这种网页采用SSL(Secure Sockets Layer)安全加密技术,不只进行资料加密,也提供数位认证,来确保登入网站的真实身份。
Ullrich 说,如果登入的不是 HTTPS格式的网页,你实在无法确定该网页是否是真的。因为,没有使用这种安全连结的网页很容易遭受到所谓“DNS spoofing(域名解析服务欺骗)”的攻击,它会利用伪照的数字形式的网址,骗过域名解析服务器而让用户进入虚假的网站。
不过,这种攻击需要一些技术。所以,骇客多半喜欢改用“网路钓鱼”(phishing)的手法,直接让用户受骗而透露账号与密码。这种方式更为简单。
可是,即使如此,银行网站也实在没有什么理由放任用户透过不用SSL加密协定的网页来登入。
SANS编撰了一份各银行的汇总资料,列示了是否采用SSL加密的登入网页。其中,需要SSL协定认证的银行网站包括︰Capital One 银行、花旗集团(Citigroup)与富国银行(Wells Fargo & Co.)。
美国银行(Bank of America Corp.)也不使用 SSL加密的登入网页。但用户在登入网页时只要键入“线上身份识别码(online ID)”,而不必提交密码。随后,银行网站把资讯传送到HTTPS网页,利用所谓SiteKey的技术来确认该顾客的身份,同时也以此确保所登陆的网站是真实的。
一般说来,银行网站会把是否使用 SSL登入当作是一个选项,但是该选项很难找到。找到HTTPS网页有个小技巧。Ullrich介绍说,就是在银行网站的首页故意键入错误的账号或者密码,在这种情况下,银行网站通常会让用户连结到需要SSL登入的网页了。这时,浏览器 Firefox 和IE会在萤幕右下方出现一个黄色小锁的图标。
(http://www.dajiyuan.com)
