目前手機銀行存在的安全問題主要是這兩方面:1.密碼洩露2.交易劫持先說手機銀行可能導致密碼洩露因素:1. 手機銀行APP來源不正規,不正規的APP可能是模仿銀行介面的釣魚程式,誘導客戶輸入賬號密碼;也有可能是手機銀行的反編譯篡改版本,更改關鍵頁面顯示,誘導客戶輸入資訊。一般情況,銀行大堂經理會幫客戶安裝,使用者若要自己下載,要在正規的第三方store上下載。2. 木馬程式盜取密碼,安卓許可權的開發,是的一些APP可以透過截圖、錄屏、獲取觸控事件等方式盜取密碼。再說交易劫持,以轉賬為例:每個轉賬請求有如下幾個要素點:#收款人#收款人賬號#金額#時間#付款人這些資料被打成資料包從手機銀行APP加密傳遞到銀行後臺,銀行後臺根據這些資料,在收款人的賬戶上加上相應的金額,在付款人賬戶上劃去等同的金額。如果被駭客劫持資料和破解,修改這些交易要素,在傳到銀行後臺,銀行後臺就會執行一個錯誤的劃賬。例如紅塔集團要轉給昆明鋼鐵廠的1000萬,你修改了收款人,轉到你的賬戶上。於是在轉賬過程中需要保證:1.轉賬資訊加密不被破解-2.資料被破解後不會被修改轉賬資訊如何不被破解,我們在手機銀行和銀行後臺都埋上一個秘鑰(不是賬戶密碼,單單隻用來加密資料),傳輸的資料需要用這個秘鑰來加密。但問題來了:1. 銀行第一次怎麼把這個秘鑰給客戶?2.給客戶之後怎麼儲存?3.駭客用超級計算機,無窮盡的嘗試秘鑰,破解。網上傳送同樣會被駭客劫持,可以一對一當面給客戶。客戶轉賬時需要用,於是他可能導到APP裡來,但是,由於前面說過的手機APP不安全,手機環境惡劣,被木馬劫持了這個秘鑰,資訊就被破解。人們想到一個方法,可以把這個秘鑰放在外面的一個小裝置裡儲存,但駭客還會窮舉嘗試推算出這個密碼,所以人們更進一步,這個密碼只能用一次!這種裝置就是OTP(One time password)(待續)
目前手機銀行存在的安全問題主要是這兩方面:1.密碼洩露2.交易劫持先說手機銀行可能導致密碼洩露因素:1. 手機銀行APP來源不正規,不正規的APP可能是模仿銀行介面的釣魚程式,誘導客戶輸入賬號密碼;也有可能是手機銀行的反編譯篡改版本,更改關鍵頁面顯示,誘導客戶輸入資訊。一般情況,銀行大堂經理會幫客戶安裝,使用者若要自己下載,要在正規的第三方store上下載。2. 木馬程式盜取密碼,安卓許可權的開發,是的一些APP可以透過截圖、錄屏、獲取觸控事件等方式盜取密碼。再說交易劫持,以轉賬為例:每個轉賬請求有如下幾個要素點:#收款人#收款人賬號#金額#時間#付款人這些資料被打成資料包從手機銀行APP加密傳遞到銀行後臺,銀行後臺根據這些資料,在收款人的賬戶上加上相應的金額,在付款人賬戶上劃去等同的金額。如果被駭客劫持資料和破解,修改這些交易要素,在傳到銀行後臺,銀行後臺就會執行一個錯誤的劃賬。例如紅塔集團要轉給昆明鋼鐵廠的1000萬,你修改了收款人,轉到你的賬戶上。於是在轉賬過程中需要保證:1.轉賬資訊加密不被破解-2.資料被破解後不會被修改轉賬資訊如何不被破解,我們在手機銀行和銀行後臺都埋上一個秘鑰(不是賬戶密碼,單單隻用來加密資料),傳輸的資料需要用這個秘鑰來加密。但問題來了:1. 銀行第一次怎麼把這個秘鑰給客戶?2.給客戶之後怎麼儲存?3.駭客用超級計算機,無窮盡的嘗試秘鑰,破解。網上傳送同樣會被駭客劫持,可以一對一當面給客戶。客戶轉賬時需要用,於是他可能導到APP裡來,但是,由於前面說過的手機APP不安全,手機環境惡劣,被木馬劫持了這個秘鑰,資訊就被破解。人們想到一個方法,可以把這個秘鑰放在外面的一個小裝置裡儲存,但駭客還會窮舉嘗試推算出這個密碼,所以人們更進一步,這個密碼只能用一次!這種裝置就是OTP(One time password)(待續)