警告！多数银行网站不够安全

根据IDG新闻社4月21日的报导，银行网站的安全问题出在于用户登入区。例如大通银行（Chase）网站和美国运通（Americanexpress）网站都要求用户键入帐号与密码。“键入的资料虽然可以加密，但是并未利用鉴识技术来作身份辨认。”美国系统网络安全协会（SANS Institute）的首席研究员Johannes Ullrich 说道。

有一种较安全的作法是，强迫用户登入有加密处理的网页HTTPS。这种网页采用SSL（Secure Sockets Layer）安全加密技术，不只进行资料加密，也提供数位认证，来确保登入网站的真实身份。

Ullrich 说，如果登入的不是 HTTPS格式的网页，你实在无法确定该网页是否是真的。因为，没有使用这种安全连结的网页很容易遭受到所谓“DNS spoofing（域名解析服务欺骗）”的攻击，它会利用伪照的数字形式的网址，骗过域名解析服务器而让用户进入虚假的网站。

不过，这种攻击需要一些技术。所以，骇客多半喜欢改用“网路钓鱼”（phishing）的手法，直接让用户受骗而透露帐号与密码。这种方式更为简单。

可是，即使如此，银行网站也实在没有什么理由放任用户透过不用SSL加密协定的网页来登入。

SANS编撰了一份各银行的汇总资料，列示了是否采用SSL加密的登入网页。其中，需要SSL协定认证的银行网站包括∶Capital One 银行、花旗集团（Citigroup）与富国银行（Wells Fargo & Co.）。

美国银行（Bank of America Corp.）也不使用 SSL加密的登入网页。但用户在登入网页时只要键入“线上身份识别码（online ID）”，而不必提交密码。随后，银行网站把资讯传送到HTTPS网页，利用所谓SiteKey的技术来确认该顾客的身份，同时也以此确保所登陆的网站是真实的。

一般说来，银行网站会把是否使用 SSL登入当作是一个选项，但是该选项很难找到。找到HTTPS网页有个小技巧。Ullrich介绍说，就是在银行网站的首页故意键入错误的帐号或者密码，在这种情况下，银行网站通常会让用户连结到需要SSL登入的网页了。这时，浏览器 Firefox 和IE会在荧幕右下方出现一个黄色小锁的图标。 看中国网站 禁止建立鏡像網站。返回正版看中国网站。

短网址: 版权所有，任何形式转载需本站授权许可。 严禁建立镜像网站.

---

【诚征荣誉会员】溪流能够汇成大海，小善可以成就大爱。我们向全球华人诚意征集万名荣誉会员：每位荣誉会员每年只需支付一份订阅费用，成为《看中国》网站的荣誉会员，就可以助力我们突破审查与封锁，向至少10000位中国大陆同胞奉上独立真实的关键资讯，在危难时刻向他们发出预警，救他们于大瘟疫与其它社会危难之中。