各行网银/手银安全性评估

用生命在撸卡

我用过不少网银，也评估过安全性，现在和大家分享一下。

收先说一下各种验证工具
1）U盾的证书是基于RSA加密，算法公开、密钥保密。这个最安全，靠数学概率保证不可能在有限时间内破解。随着计算机运行速度的加快，应对方法是加大密钥长度。尽管以前Https-OpenSSL有*心*脏*流血等漏洞，就比方说你家的墙都塌了，还用纠结于你安的是普通门还是防盗门吗？
2）电子密码器是算法保密。工行比中行多了输入挑战信息才能生成验证码，不过本质还是一样的，只是不简单依赖于时间而已。
3）短信就不说了，大家都清楚。比如网上的各种“捡了个手机，上面有个支付宝”、各种“被补卡丢钱”的事多了。最近又出了“短信保管箱”。

证书密钥被破解或被盗，最多一个人损失。密码器要是算法被获取（比如写算法的监守自盗），那可就所有人都遭殃。
证书和密码器，两个安全不在一个等级上。这也就是U盾能签超级网银、密码器不能的原因。也是两者转帐限额有区别的原因。


现在手机电脑中个木马，或者撞库的方法获取你的网银登陆名、登陆密码很常见。以下讨论的背景是：你的登陆名、密码被盗。
那么，在我看来，评估网银的安全性有两个等级：
1）别人登陆你的网银/手银后，钱转不出去。即外人无法获利。
2）别人登陆你的网银/手银后，没法做损人不利己的事。比如把你未到期的定期全部取出损失利息，不停的*买*卖*贵金属让你的钱都交了手续费。。。

----------网银----------
经评估
a)招行网银安全性最高：禁用大众版后、禁用U盾证书拷贝后，登陆专业版网银只能靠插U盾。最安全
b)工行次之，网银在开了“理财类交易开通U盾（口令卡、工银电子密码器）认证功能”后，别人能干的损人不利已的事，只有在不同分行下的卡间来回转帐（注册卡转帐不验证安全工具）交异地转帐手续费，做基金转换交易（说不定还能挣钱）。
c)建行再次之，建行不验证U盾，可以提前支取定期存款，做各种基金、贵金属等证券交易。建行不同于工行，注册卡间转要验证U盾，超限后还要短信验证码。如果做到大额存款卡和投资交易卡分离，还是相对安全的。

d)中行就差些了，比建行少了“注册卡间转要验证U盾”。那么好了，把你所有存款都取出来，**贵金属吧……我曾试过，开通中行动态口令卡和短信验证码（中行对U盾不感兴趣，这是主推的网银安全工具组合），然后又加了U盾。最要命的一点，是中行网银切换安全工具，不要验证安全工具，意思是我转帐，现在是验证U盾，那么转换成动态口令加短信，只要动动鼠标。那么问题来了，因为口令卡安全性不如U盾，我去消了口令卡，那么网银中动态口令加短信之中的动态口令被销了，所以仅靠短信就能转帐，能转走几十万……

e)最不靠谱的是交行，仅靠短信就能签超级网银被他行吸钱，果断把钱全部转走。连第一点这个最基本的都做不到。

农行没用过，不评论。

-----------手银---------
工行最安全，用通用U盾一切操作都要验证（除了注册卡转帐、基金转换）。
建行次之，仅转帐要用U盾，还是5000以上才验证通用盾，5000以下仅要短信。不能调网银转帐限额，不能调触发由短信转至验证U盾的限额（就那5000元）

农行音频U盾办理要收费，没用过。中行说是有音频盾，但满世界都没找到。
不要音频U盾，仅要短信的，安全性最差。

用生命在撸卡

值得了解的

用生命在撸卡

中行的，光短信每天的交易上限是五千，不管是支付还是转账，我中行三种安全工具都有，建行的手银我压根不用，因为光凭登录密码加短信每天就可以转账五万，虽说登陆密码重置只能去柜台，通用盾是最近才出的。

工行的比较安全，不管是手银还是网银都用通用盾或密码器，另外一个是银行卡安全，我也喜欢用工行的，常刷的卡不留太多现金，要刷之前手银注册帐号转入就是了，存款也是同理，存款后立马转到另外一张卡上（此安全卡办下来后就锁抽屉反正双免年费），就算你复制卡我也不怕，除非你能猜到我什么时候去存款，还能在之后一分钟内盗刷

用生命在撸卡

学习了。 这几家网银我都在用！

用生命在撸卡

学习了。现在基本只用工行卡

用生命在撸卡

最讨厌各种U盾，令牌，密码器什么的，手上上百个了。
最喜欢平安这样短信就可以转账4000万的银行。

用生命在撸卡

要火 留名！

用生命在撸卡

占地，坐等此贴大火！！！！

用生命在撸卡

建行要是不办u盾，只办理短信，银行柜台说限额1000。平安银行居然没u盾，只有短信验证码

用生命在撸卡

wjq135 发表于 2015-7-23 00:47
最讨厌各种U盾，令牌，密码器什么的，手上上百个了。
最喜欢平安这样短信就可以转账4000万的银行。

我靠，黑的漂亮！！！

用生命在撸卡

干货，棒棒的

用生命在撸卡

wjq135 发表于 2015-7-23 00:47
最讨厌各种U盾，令牌，密码器什么的，手上上百个了。
最喜欢平安这样短信就可以转账4000万的银行。

平安短信验证码不是最高500W麽？4000W怎么来的？{:soso_e132:}

用生命在撸卡

学习了。楼主辛苦了。大家要注意资金安全

用生命在撸卡

现在操作越来越便携，安全性也越来越需要重视了

用生命在撸卡

stephen48dc 发表于 2015-7-22 23:09
中行的，光短信每天的交易上限是五千，不管是支付还是转账，我中行三种安全工具都有，建行的手银我压根不用 ...

怎么保证安全卡安全呢？你的安全卡的钱被转到同行名下也不安全。

用生命在撸卡

感谢楼主普及网银手银安全知识！

用生命在撸卡

mdis 发表于 2015-7-23 07:24
建行要是不办u盾，只办理短信，银行柜台说限额1000。平安银行居然没u盾，只有短信验证码

平安有U盾的，一代U盾，我也免费领了个，可以和短信验证随意切换。

用生命在撸卡

shawnchu 发表于 2015-7-23 08:07
平安短信验证码不是最高500W麽？4000W怎么来的？

尊敬的客户：
    根据当前业务发展的需要，我行将在2014年10月24日调整个人网银、手机银行安全工具的跨行转账每日交易限额上限，相关内容如下：
一、调整内容：
1、 本次下调涉及的安全工具包括手机动态口令和数字证书（USBKEY）。
2、 手机动态口令的跨行转账每日交易限额上限由目前的4000万元（含）下调为500万元（含）；数字证书（USBKEY）的跨行转账每日交易限额上限由目前的9亿元（含）下调为1亿元（含）。
二、调整生效后的情况说明：
1、新注册的个人网银和手机银行用户，初始的跨行转账每日交易限额默认值是0元。若您需要设置新的跨行转账每日交易限额，则手机动态口令最高为500万元（含）；数字证书USBKEY最高为1亿元（含）。
2、新规则生效后，原已设置过跨行转账每日交易限额的，该限额保持不变；若您需要修改跨行转账每日交易限额，则最高限额不能超过本次调整的最高限额，即手机动态口令最高为500万元（含）；数字证书USBKEY最高为1亿元（含）。
3、该限额设置成功后，凭手机动态口令进行的跨行转账每日累计最多可转出500万元（含）；凭数字证书USBKEY进行的跨行转账每日累计最多可转出1亿元（含）。
感谢您一如既往的支持!如有任何疑问，敬请致电平安银行客服电话：95511-3。
    特此公告。

平安银行股份有限公司

2014年10月14日

用生命在撸卡

wei9580 发表于 2015-7-23 11:00
怎么保证安全卡安全呢？你的安全卡的钱被转到同行名下也不安全。

只是相对安全而已，假如你要动我安全卡的钱，除非是拿到U盾跟几个密码，想从ATM复制卡是不可能的。