网络购物已经成为现代人生活中的一部分,在网上买东西之后,一般都会接到一条手机短信,告知何时何账号消费多少金额。而现在,在你买东西将支付之前,你会 收到短信,告知你的哪个账号要支付多少钱,如果你同意,则按照短信上的密码输入,你的钱就能顺利划到对方账号上;如果你没有进行交易,或者交易金额有问 题,你不必理会该短信,交易就无法达成。用天天跟着你的手机当移动的密码,这就是光大银行新推出的业务——手机“动态密码”。
光大银行电子银行部一位负责人说:“这是未来电子银行业务发展的重点方向,目前应用手机密码的银行有光大、浦发、交行,中行有动态令牌。”
动态密码实现安全与方便兼得
光大银行对网银专业版进行升级,可以将手机变为客户办理业务的电子钥匙。也就是用网上银行“动态密码”认证方式替代了原先的浏览器证书方式。
这种动态密码认证的主要方式是:当客户登录网上银行时,系统将向客户绑定的手机发送一次性动态密码,客户输入此密码完成第二重验证,既方便又保证登陆安全。
安全和方便是电子银行最重要的职能
(1)安全方面,该人士表示:“我们给客户发短信时,会在短信中包含你的交易信息,这是从安全性能方面考虑的,这样的话我们就能够有效防范一些木马软件来篡改你的交易信息。”
(2)而方便性上:“比如说客户出差时,可能不一定会带着网银移动证书,但是手机一定会带,所以采用动态密码的方式相当方便。”
动态密码胜过数字证书
该负责人介绍说,以前网银用的是证书版本,门槛相对较高,对客户的计算机知识要求也比较高。他提到,从银行方面,银行的柜台人员也认为,在跟客户推介过程中,给客户解释网银使用方式很麻烦,还会带来很多后续问题。
“但是动态密码就解决这个问题,一般客户都有手机,客户只要有手机会上网就解决这些问题,不用像过去一样下载证书、安装证书这种麻烦的过程。”
“我们行的动态密码有一个特点,有些银行在支持动态密码的同时就不支持证书方式了,那么对于一个客户来说,他只能二选一,但是对于我们银行的客户来说我们银行的专业版客户既可以是证书的也可以是动态密码的客户,二者是兼容的。”该负责人对周报记者说。
据了解,目前光大银行对高风险交易如对外转账和支付都会采用动态密码方式。现在动态密码还只支持5万元以下的转账交易,5万元以上的转账交易则要通过证书方式完成。
“我们最近新推出一项业务,就是对于信用卡客户电子支付免签约。因为客户申请信用卡时都会留手机号,对于这部分客户,只要他使用的是银行预留的手机号码,我们就会给他发动态密码。这样信用卡客户就免掉去柜台签约这个复杂步骤,不但方便而且安全。”
业务推动后,网银签约客户同比大涨150%,该人士也指出,这项业务还处于市场开拓阶段,银行并不指望从这项业务上面去对客户收取手续费,而是看重了通过这项业务带来的新的利润增长点。
“通过业务的拓展,比如说和支付的公司的合作,我们可以达到盈利的目的。比如说做支付我们会从商户方面得到一些收益。”
该人士还透露,从3月份启动这项业务后,对各种其他业务推动作用也非常强大。首先是,客户签约网银的签约率跟去年同期相比增长了150%;另外,推出这个信用卡客户电子支付免签约后,信用卡电子支付的客户量和交易量增长非常迅速,客户量扩大了不少。
宁盾观点:
宁盾认为银行业在选择安全身份认证产品方面是非常谨慎的,短信密码这项技术之所以最终打动光大银行可能取决于以下因素:
(1)安全性:由于手机与客户绑定比较紧密,密码生成过程与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。
(2)普及性:只要会接收短信即可使用,大大降低这项技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。
(3)易收费:由于移动互联网用户天然养成了付费的习惯,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,而且支持微支付,所以未来短信密码作为一种增值业务每月收客户2-5块钱基本上没有阻力,试想如果这项增值业务开通,每年可以多增加近亿的收益。
(4)易维护:由于短信网关技术非常成熟,大大降低这套系统上马的复杂度和技术风险,银行不愿意成为
IT服务公司,短信密码技术后期客服投入成本非常小,这也是他们亲昵这项技术很重要的原因,这对于他们进程成本控制,提升银行在客户中的口碑都有非常积极正面的效应。
但是宁盾对于动态密码胜过数字证书的说法持保留意见,动态密码与数字证书是截然不同的概念。
动态密码侧重保护登录的安全,一旦这个层面被破解,任何保护措施都失效,所以一次性密码技术就非常有效,但动态密码并不具备签名功能,对于5万元以下的微型支付,单一短信密码就能保证足够安全,也是非常合适的。
光大银行电子银行部一位负责人说:“这是未来电子银行业务发展的重点方向,目前应用手机密码的银行有光大、浦发、交行,中行有动态令牌。”
动态密码实现安全与方便兼得
光大银行对网银专业版进行升级,可以将手机变为客户办理业务的电子钥匙。也就是用网上银行“动态密码”认证方式替代了原先的浏览器证书方式。
这种动态密码认证的主要方式是:当客户登录网上银行时,系统将向客户绑定的手机发送一次性动态密码,客户输入此密码完成第二重验证,既方便又保证登陆安全。
安全和方便是电子银行最重要的职能
(1)安全方面,该人士表示:“我们给客户发短信时,会在短信中包含你的交易信息,这是从安全性能方面考虑的,这样的话我们就能够有效防范一些木马软件来篡改你的交易信息。”
(2)而方便性上:“比如说客户出差时,可能不一定会带着网银移动证书,但是手机一定会带,所以采用动态密码的方式相当方便。”
动态密码胜过数字证书
该负责人介绍说,以前网银用的是证书版本,门槛相对较高,对客户的计算机知识要求也比较高。他提到,从银行方面,银行的柜台人员也认为,在跟客户推介过程中,给客户解释网银使用方式很麻烦,还会带来很多后续问题。
“但是动态密码就解决这个问题,一般客户都有手机,客户只要有手机会上网就解决这些问题,不用像过去一样下载证书、安装证书这种麻烦的过程。”
“我们行的动态密码有一个特点,有些银行在支持动态密码的同时就不支持证书方式了,那么对于一个客户来说,他只能二选一,但是对于我们银行的客户来说我们银行的专业版客户既可以是证书的也可以是动态密码的客户,二者是兼容的。”该负责人对周报记者说。
据了解,目前光大银行对高风险交易如对外转账和支付都会采用动态密码方式。现在动态密码还只支持5万元以下的转账交易,5万元以上的转账交易则要通过证书方式完成。
“我们最近新推出一项业务,就是对于信用卡客户电子支付免签约。因为客户申请信用卡时都会留手机号,对于这部分客户,只要他使用的是银行预留的手机号码,我们就会给他发动态密码。这样信用卡客户就免掉去柜台签约这个复杂步骤,不但方便而且安全。”
业务推动后,网银签约客户同比大涨150%,该人士也指出,这项业务还处于市场开拓阶段,银行并不指望从这项业务上面去对客户收取手续费,而是看重了通过这项业务带来的新的利润增长点。
“通过业务的拓展,比如说和支付的公司的合作,我们可以达到盈利的目的。比如说做支付我们会从商户方面得到一些收益。”
该人士还透露,从3月份启动这项业务后,对各种其他业务推动作用也非常强大。首先是,客户签约网银的签约率跟去年同期相比增长了150%;另外,推出这个信用卡客户电子支付免签约后,信用卡电子支付的客户量和交易量增长非常迅速,客户量扩大了不少。
宁盾观点:
宁盾认为银行业在选择安全身份认证产品方面是非常谨慎的,短信密码这项技术之所以最终打动光大银行可能取决于以下因素:
(1)安全性:由于手机与客户绑定比较紧密,密码生成过程与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。
(2)普及性:只要会接收短信即可使用,大大降低这项技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。
(3)易收费:由于移动互联网用户天然养成了付费的习惯,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,而且支持微支付,所以未来短信密码作为一种增值业务每月收客户2-5块钱基本上没有阻力,试想如果这项增值业务开通,每年可以多增加近亿的收益。
(4)易维护:由于短信网关技术非常成熟,大大降低这套系统上马的复杂度和技术风险,银行不愿意成为
IT服务公司,短信密码技术后期客服投入成本非常小,这也是他们亲昵这项技术很重要的原因,这对于他们进程成本控制,提升银行在客户中的口碑都有非常积极正面的效应。
但是宁盾对于动态密码胜过数字证书的说法持保留意见,动态密码与数字证书是截然不同的概念。
动态密码侧重保护登录的安全,一旦这个层面被破解,任何保护措施都失效,所以一次性密码技术就非常有效,但动态密码并不具备签名功能,对于5万元以下的微型支付,单一短信密码就能保证足够安全,也是非常合适的。
数字证书是由一个值得信赖的权威机构(数字证书认证中心,简称CA)发行,它主要用来鉴别用户身份,另外一点
就是对于数据的签名,防止抵赖。
但是对于大笔支付,目前数字证书更被信任,将来最好能将动态密码与数字证书结合,推出安全组合拳,同时
如何保证两种技术结合带来高安全的同时又能有很好的用户体验是从事身份认证行业需要思考的问题。
以上仅是宁盾独家观点,可能会有片面性,欢迎沟通。(宁盾 刘英戈)
------------------------------------------------------------------------------
宁盾专注动态密码身份认证 - 短信密码 | 动态令牌(硬件令牌,手机令牌)
http://www.ndkey.com.cn
-------------------------------------------------------------------------------
