為了強化客戶的忠誠度與交易量,許多金融業者都大量導入線上金融服務,從存款查詢、轉帳到外匯與股票買賣,都希望能簡化客戶的操作流程,讓客戶能夠更喜歡利用該業者的服務。雖然線上交易相當便捷,但也因網路的特殊性,讓管理人員無從得知使用者的真實性,傳統上可以在臨櫃時驗證客戶身分,但透過網路就只能利用其他方法查核,而這也是造成資安事件的問題所在。
根據Identity Theft Resource Center於2009年的調查中指出,目前影響線上金融最大的幾個威脅分別是:釣魚攻擊、密碼資料庫竊取、Man in the Middle、Man in the Browser及認證竊取等,這些威脅分別影響了金融業者與客戶的身分真實性,連帶著也讓交易正確性大打折扣。
身分的正確性可以分為兩個方面,一個是所連接網站的正確性,另一個當然就是客戶的身分正確性。網站為了便於服務幾乎都會採用固定的網域名稱及IP位址,並且會透過第三方認證單位,如VeriSign、Cybertrust或GeoTrust等單位認證該網站的真實性與正確性。
線上金融服務網站由於是公開且供任何人使用,因此很容易查核其真實性並確保安全性。但相對而言,客戶端卻是多樣化且隨時隨地都可能利用相關服務,增加了身分查驗上的困難。對線上金融來說,要擔心的不是網站遭受攻擊,而是用戶端是否能夠確保其資料的正確性與保密性。要強化身分驗證可以從三個方面下手,第一個就是客戶端所持有的登入手段,第二個則是驗證所使用的設備與通道安全,第三個則是清除所使用過的紀錄與足跡。
過去傳統的登入方式可能僅需要帳號與密碼即可,但是現在要登入網路銀行時,都必須透過浮動式的鍵盤輸入帳號與密碼,這就是為了避免被鍵盤側錄程式盜取帳號與密碼。另外,也可以透過特殊的「安全瀏覽器」達到安全登入的功效。此種瀏覽器一般儲存在可攜式裝置的記憶空間中,當客戶需要登入線上金融服務時,便需要執行該程式才能正確登入線上服務。在安全瀏覽器開啟的過程中,將會保護客戶不會受到惡意軟體的侵擾,同時在關閉之後,還會自動清除相關的紀錄與足跡。
隨著行動網路和手持裝置的演變與普及,線上金融服務如何強化身分辨識機制是安全機制成為最關鍵的步驟。例如 SafeNet 讓金融服務提供者可以針對特定的風險層級和使用例特性而建立客製化認證方案,涵蓋從 all-in-one out-of-the-box one-time password(OTP)認證方案,到強大的智慧卡憑證認證,乃至於支援簡訊功能和將 OTP 傳送至行動裝置的軟體認證方法等,可以支援最嚴苛的金融服務環境。
隨著客戶更頻繁執行電子交易,藉由建置一套強力認證系統,銀行及其他金融組織可以確保他們的數位通訊與交易系統安全,是確保信任以及維護金融服務品牌形象不可或缺的。
|