警告!多數銀行網站不夠安全
【大紀元4月24日訊】(大紀元記者李景和編譯)如果你是線上銀行的顧客,下次在登入銀行網站時可能要多加注意了,因為美國有許多熱門的銀行網站已經無心地把客戶置身於線上竊賊犯案對象的風險中,這時一位頗具聲譽的網路安全專家日前提出的警告。
根據IDG新聞社4月21日的報導,銀行網站的安全問題出在於用戶登入區。例如大通銀行(Chase) 網站和美國運通(Americanexpress)網站都要求用戶鍵入帳號與密碼。「鍵入的資料雖然可以加密,但是並未利用鑑識技術來作身份辨認。」美國系統網絡安全協會(SANS Institute)的首席研究員Johannes Ullrich 說道。
有一種較安全的作法是,強迫用戶登入有加密處理的網頁HTTPS。這種網頁採用SSL(Secure Sockets Layer)安全加密技術,不只進行資料加密,也提供數位認證,來確保登入網站的真實身份。
Ullrich 說,如果登入的不是 HTTPS格式的網頁,你實在無法確定該網頁是否是真的。因為,沒有使用這種安全連結的網頁很容易遭受到所謂「DNS spoofing(域名解析服務欺騙)」的攻擊,它會利用偽照的數字形式的網址,騙過域名解析服務器而讓用戶進入虛假的網站。
不過,這種攻擊需要一些技術。所以,駭客多半喜歡改用「網路釣魚」(phishing)的手法,直接讓用戶受騙而透露帳號與密碼。這種方式更為簡單。
可是,即使如此,銀行網站也實在沒有甚麼理由放任用戶透過不用SSL加密協定的網頁來登入。
SANS編撰了一份各銀行的彙總資料,列示了是否採用SSL加密的登入網頁。其中,需要SSL協定認證的銀行網站包括︰Capital One 銀行、花旗集團(Citigroup)與富國銀行(Wells Fargo & Co.)。
美國銀行(Bank of America Corp.)也不使用 SSL加密的登入網頁。但用戶在登入網頁時只要鍵入「線上身份識別碼(online ID)」,而不必提交密碼。隨後,銀行網站把資訊傳送到HTTPS網頁,利用所謂SiteKey的技術來確認該顧客的身份,同時也以此確保所登陸的網站是真實的。
一般說來,銀行網站會把是否使用 SSL登入當作是一個選項,但是該選項很難找到。找到HTTPS網頁有個小技巧。Ullrich介紹說,就是在銀行網站的首頁故意鍵入錯誤的帳號或者密碼,在這種情況下,銀行網站通常會讓用戶連結到需要SSL登入的網頁了。這時,瀏覽器 Firefox 和IE會在螢幕右下方出現一個黃色小鎖的圖標。
(//www.dajiyuan.com)