绿盟科技个人网上银行登录安全研究报告

IA.序言亲爱的读者：2013年初，绿盟科技专业服务的同事们对中国银行业个人网上银行的登录安全进行了一项专题研究。中国50大银行、4个独特的角度、12个令人印象深刻的观点，构成了这份研究报告的主要轮廓。网上银行用户选择使用什么认证方式？这些认证方式安全性怎么样？SSL安全吗？网上银行常用的安全控件有效吗？对不同浏览器的支持怎么样？…如果您同样在思索这些问题，您会发现这份报告非常值得一读。绿盟科技在中国已经走过13年，专业安全服务一直是绿盟科技最为重要的一个业务领域。在多年为银行客户提供专业服务的过程中，积累了对个人网上银行安全性的深入理解。这份报告是这些理解的一个分享。希望您阅读愉快，对您有所启发。赵粮绿盟科技首席战略官赵粮绿盟科技NSFOCUS首席战略官CSOIIB.执行摘要2013年初，绿盟科技专业服务的同事们对中国银行业个人网上银行的登录安全进行了一项专题研究。我们根据2012年10月24日标准普尔在北京发布的《中国50大银行》报告，对这50大银行的个人网上银行登录进行了调查、分析和深入研究，借此来巩固并完善我们在“入口安全”领域的安全积累。通过此项研究，我们了解了当前中国50大银行个人网上银行业务中的登录安全现状，掌握了当前与登录安全相关的第一手宝贵资料。同时，我们也希望借助此项研究，总结经验，将其反馈给中国各大银行，为中国银行业网上银行的信息安全事业，尽我们的一份微薄之力；为推动中国银行业网上银行整体安全持续、健康、稳定的发展，做出我们的一份贡献。我们是巨人背后的专家，我们甘为孺子牛。有关个人网上银行登录安全研究的主要发现：现状：安全措施日益多样，且细节丰富1.安全的SSL会话是网上银行登录的第一道防线2.多因素认证的身份鉴别方式已经得到普及3.对密码的输入保护多采用安全控件集成软键盘的混合模式4.验证码依然是登录中不可避免的负面体验5.登录失败策略差异较大，但反馈信息多使用“友好的错误提示”并进行了模糊化处理6.少数银行对客户端的浏览器要求更精细7.预留信息的作用并不明显8.欢迎首页的登录提醒信息多种多样9.与登录相关的限制策略应用百花齐放、百家争鸣，但效果不佳攻与防：解决最突出的五大威胁是保障网上银行登录安全的关键10.网络钓鱼是个人网上银行登录最大的安全威胁11.恶意代码攻击与网上银行登录紧密相关12.暴力破解攻击在逐步降低，但仍不可忽视13.登录中的恶意滥用问题尚无非常有效的解决办法14.用户身份假冒是当前登录面临的最头痛问题监管：合规不是终点而是起点，不要输在起跑线15.加密通信协议已经普及，弱加密算法尚存16.安全控件及软键盘广泛使用，但技术细粒度有待加强17.图形验证码安全合规性不容乐观局限性：技术也有不足，得与失都得自己承担18.利用USBKEY证书的登录身份鉴别，也有硬伤19.安全控件是攻与防博弈的矛盾体20.验证码让用户慢下来，影响输入体验IIIC.对象、范围和方法对象此项研究中，我们选取标准普尔发布的《中国50大银行》报告中的50大银行之个人网上银行为研究对象。范围此项研究中，我们将个人网上银行的登录作为安全研究专题，主要从登录安全中的不同角色关注的不同内容出发。分别从“现状：安全措施的真实情况”、“攻与防：最突出的安全威胁及应对”、“监管:合规要求和实现”和“局限性：技术的缺陷”四个核心主题进行安全探讨。由于个人网上银行业务的独特性，我们没有把登录相关的“找回用户名”、“忘记密码”或“重置密码”等内容纳入到此项研究范围，请读者谅解。方法我们首先收集了绿盟科技各部门安全专家、顾问和工程师关于网上银行、支付网站的数百个登录相关的安全观点，对这些观点进行了筛选、合并、分类和排序，初步形成了若干个登录安全假设。随后，我们研究了各银行个人网上银行的一系列资源来验证这些假设，包括亲身实践个人网上银行业务，查阅网上银行的演示、指导手册、安全指引等，以及一系列其他资料，包括学术文献、研究报告、互联网个人分析等。通过上述验证过程，我们最终得出了若干个最有理有据的假设，由此融合成《个人网上银行登录安全研究报告》中所总结的四个核心主题，二十个子主题。IV目录A.序言..........................................................................................................................................................IB.执行摘要.................................................................................................................................................IIC.对象、范围和方法................................................................................................................................IIID.安全研究.................................................................................................................................................1D1.现状：安全措施日益多样，且细节丰富.......................................................................................11)安全的SSL会话是网上银行登录的第一道防线.............................................................22)多因素认证的身份鉴别方式已经得到普及.....................................................................33)对密码的输入保护多采用安全控件集成软键盘的混合模式.........................................64)验证码依然是登录中不可避免的负面体验.....................................................................75)登录失败策略差异较大，反馈信息多用“友好的错误提示”并模糊化处理.............76)少数银行对客户端的浏览器要求更精细.........................................................................97)预留信息的作用并不明显.................................................................................................98)欢迎首页的登录提醒信息多种多样...............................................................................109)与登录相关的限制策略应用百花齐放、百家争鸣，但效果不佳...............................10D2.攻与防：解决最突出的五大威胁是保障网上银行登录安全的关键.......................................1210)网络钓鱼是个人网上银行登录最大的安全威胁...........................................................1311)恶意代码攻击与网上银行登录紧密相关.......................................................................1412)暴力破解攻击在逐步降低，但仍不可忽视...................................................................1513)登录中的恶意滥用问题尚无非常有效的解决办法.......................................................1614)用户身份假冒是当前登录面临的最头痛问题...............................................................16D3.监管：合规不是终点而是起点，不要输在起跑线.....................................................................1715)加密通信协议已经普及，弱加密算法尚存...................................................................1816)安全控件和软键盘广泛使用，但技术细粒度有待加强...............................................1917)图形验证码安全合规性不容乐观...................................................................................20D4.局限性：技术也有不足，得与失都得自己承担.........................................................................2118)利用USBKEY证书的登录身份鉴别，也有硬伤.............................................................2219)安全控件是攻与防博弈的矛盾体...................................................................................2320)验证码让用户慢下来，影响输入体验...........................................................................23E.关于.......................................................................................................................................................241D.安全研究D1.现状：安全措施日益多样，且细节丰富现在，转换您的身份，从一位本报告的阅读者变成网上银行用户的角色，来看一看当前我国各银行个人网上银行的登录安全，看看都采用了哪些安全防护措施来保障登录，解决登录过程的安全风险。从您打开网上银行界面到成功进入网上银行欢迎页，或许您能发现下面这些安全措施：安全会话、身份鉴别、输入保护、验证码、失败处理、浏览器功能屏蔽、预留信息、登录提醒、限制策略。如果您都了解上述这些专业词汇，恭喜您，您不仅是一位敏锐的观察者，一定也是一位安全意识极高的网上银行忠实用户。21)安全的SSL会话是网上银行登录的第一道防线创建会话是用户与银行个人网上银行之间交互的第一步，没有安全的会话，个人网上银行的安全无从谈起。基于我们对50大银行登录会话安全的调查数据和分析，结果显示：被调研的所有个人网上银行的网络通讯均采用HTTPS方式，应用安全套接字层（SSL）来确保建立一个安全的信道。研究显示：国内