五味堂中醫氣功普教網  
歡迎您光臨 五味堂 (www.eqgnsl.icu)濟世之道,莫先于醫;療病之功,莫先于藥……五味堂 宗旨:【傳承中醫中藥國粹,弘揚氣功武術瑰寶——致力于全民健康!】五味堂網站是提供傳統中醫養生保健知識、經方秘方驗方、中藥草藥知識、醫療保健氣功、武術氣功、傳統拳械、易學邊緣知識等,供網友、會員繼承、應用、研究、發揚祖國傳統優秀文化的網上交流平臺……網站正在逐步建設完善,現已開放注冊,歡迎有志于振興中醫、弘揚國粹的同仁蒞臨指導交流,共同研討、提高。也歡迎所有信任和支持傳統中醫藥、民間中草藥、武術氣功的朋友經常來 五味堂 了解、學習、交流。祝大家健康快樂 ^_^
..
..
..
點擊交談..
..
..

論壇帖子內容              Thread Content
對國內銀行的網銀密碼保護控件分析
作者 五味堂主   查看 2343   發表時間 2013/7/28 21:42  【論壇瀏覽】
前段時間對國內銀行的網銀密碼保護控件進行了分析,大致總結出以下特點:

一、最粗心的密碼安全控件

從分析的過程來看,最粗心的密碼控件非中XX行莫屬。為什么這樣說呢,不是說該行的網銀密碼控件不好,而是因為其大粗心大意了,作為國際性銀行,國內數一數二的大銀行,網銀用戶那么多,這種糟糕表現,真是讓我們心疼。

該行的密碼控件,正常情況下能夠防止鍵盤鉤子、鍵盤消息,但無法防范鍵盤驅動和鍵盤中斷;另外一個實現了進程保護,防止進程注入,回避了很多IE自身存在的問題,這點在國內的網銀中,應該說做得最好,值得肯定。

但問題是出在,對控件的保護能力實在是太差,簡直不夠相信這是出自大行的手筆。你說你無法防止鍵盤鉤子和鍵盤中斷,我們也不怪你,這也正常,畢竟國內的網銀安全現狀就是這樣。但只要把保護鍵盤的驅動文件和保護進程的驅動文件更改下名字,然后重啟,所有的密碼輸入保護全部失效,鍵盤鉤子能夠實現密碼攔截,鍵盤消息也輕易地獲取到輸入密碼。還有更加嚴重的是,當密碼保護能力全部失去作用后,居然登錄頁面的密碼輸入均正常,沒有任何的錯誤或告警提示。

我不知道,該行使用的是那家廠商的密碼控件,估計他也離淘汰也不遠了,這樣做事,一定會得到市場的懲罰。另外一個值得我們思考的是,該行上密碼控件前,有沒有經過認真測試、有沒有信息安全人員,居然這樣粗心大意,這樣忽悠咱們這些可愛的網銀用戶。就這樣的做事方式,還想評今年的最佳網銀安全方案,真是糟蹋我們人民大眾的智慧。也希望該行,盲羊補牢,盡快將這些問題進行解決,以免給人民大眾帶來不必要的經濟損失。

二、最創新的密碼安全控件

在分析國內的網銀密碼控件中,發現石家莊XX銀行使用的密碼控件比較特別。它沒有和其他的銀行一樣,使用什么軟鍵盤,什么鍵盤加密,什么鍵盤反鉤子,但在分析中,所有的鍵盤鉤子、鍵盤消息、鍵盤驅動和鍵盤中斷均失效,無法攔截真正的密碼輸入,這點真是讓我們耳目一新,看來國內還是有牛人呀。但美中不足的是,對控件的保護能力很差,也無法防止釣魚事件的發生,看來還得下點功夫。要是這些問題能夠解決,該密碼控件會成為國內最優秀的密碼控件。

三、最周全的密碼安全控件

在分析的過程中,發現光X銀行(也包括國內很多銀行)使用的密碼控件考慮的安全因素比較全面,在很多細節方面均做得不賴,無可挑剔,其他銀行或是密碼控件開發商應該好好地向他學習。通過分析,該控件使用的是鍵盤加密控件,技術好像來自一家X國的公司,這就難怪了,X國人做事一向比較細心,而且又有那么多成功案例,所以考慮的東西也比較周全。因為我們以前分析過QQ軟鍵盤的安全,所以一看就知道里面存在的問題,軟鍵盤能夠被破解,鍵盤光標沒有保護,無法攔截鍵盤驅動,無法攔截鍵盤中斷,這些都是它致命的硬傷,也希望他們加大研發力度,將這些功能補上。

但值得我們警惕的是,國內這么多銀行使用該密碼控件,是否會引發金融問題,看來這個課題留給國安的人好了,也就不在我們的考慮范圍了。

四、最糟糕的密碼安全控件

最糟糕的密碼安全控件,應該屬于那些使用軟鍵盤的銀行。而且使用的銀行也是最多,其中還包括一些大行。我們知道,軟鍵盤最大的軟肋是截屏,但每家銀行都沒有做這方面的工作,按下個截屏鍵,就可以將屏幕截下來,我們真是無話可語。有的還可以進行軟、硬鍵盤切換,但切換到真鍵盤后,一點安全措施都沒有,我不知道這樣設計的目的是什么,是想擾亂嗎,還是有其他想法,但你也得起碼做點防護呀,不要這樣,這樣不好,會傷網銀用戶的心的。當然破解軟鍵盤的方法有很多種,以前分析過QQ2009使用的軟鍵盤,不用截屏,只要通過點擊鼠標就可以把軟鍵盤內容攔截出來。

看來,網銀的安全還有很多工作要做呀,差的不是一點兩點,而是很多。希望更多的人參與到網銀安全的研究中來,少一點浮躁,多一份踏實;少一份利益,多一份貢獻。



原文地址:點此 (個別字詞略有修改,原文請訪問原出處)


序號 評論者 共有評論 0   【論壇瀏覽】  【發表評論】 評論時間
當前無任何評論,或評論已被禁止顯示
 共有評論數 0  每頁顯示 10
頁碼 1/0  |<  <<     >>  >| 
Powered by DiY-Page 5.3.0 © 2005-2019
七星彩生日号码中奖故事