关于网银安全性的一点碎碎念

这篇帖子来源于上周末给一个朋友解释各种银行安全措施，写下来希望能帮到更多人。

网银安全第一步是https(或者叫SSL/TLS，一个意思)配合操作系统或者浏览器里干净的根证书来防止中间人攻击，也能很大程度上防止钓鱼网站。估计很多人看了这句话就想点x了。没办法，安全本来就是个很复杂的事情，想想一张人民币比一张普通的纸要复杂多少倍就知道了。

http://www.williamlong.info/archives/3461.html
这是月光博客上一篇比较详细且容易理解的介绍，推荐阅读

另外，不仅上网的时候可以检查数字证书，安装和执行.exe .msi等文件的时候也要检查，方法是右键该文件->属性->数字签名->点中签名者姓名->详细信息->查看证书->证书路径 然后看是谁颁发给谁的证书。如果想做的更仔细一点，可以点根证书->查看证书->详细信息->指纹 ☺
有证书的可执行文件可以确保没有被黑客修改过，如果开发者干坏事被查出来之后抵赖不掉。

跑题了，继续说网银

接下来就是用户名密码了，不过这一道保护太弱了，无论电脑还是手机都可能会泄露出去。所以银行和支付宝等都不得不想出来其他的保护措施。按照安全级别的高低来说
1：最安全且最贵的就是中国银行的令牌这样的，物理上和任何设备隔绝，只能光学识别(人眼或者摄像头拍)，所以绝对不怕黑客远程操控，但是存在被钓鱼的可能性。
2：其次是招行这样的UKEY，因为要插电脑上所以不能算完全和互联网隔离。所以理论上存在着插上电脑之后被破获密钥的可能性。
3：然后是1的变种，在智能手机上安装一个App来实现1的功能，大大节省成本，安全性能接近方法2. 当然，最好是在未越狱的设备上。虽说不作死不一定就能保证不会死，但是至少概率小很多嘛。
4：短信密码。这种方式的一个前提假设就是，短信动态密码是传播在telecom这个域里面的，和internet这个域是隔离的。但是现在，这道护城河基本已经不存在了。而打通这条护城河的桥梁就是Android手机。Android允许App读取短信，在方便和安全的权衡中倒向了方便。所以黑客完全可以在劫持了Android手机之后截取短信验证码干坏事。这点上Windows Phone最安全，其次是iPhone。WP在不解锁的情况下无论如何备份不出来短信，算是WP的一大卖点吧。

想想这个场景，在Android手机上使用过网银，输入的用户名密码可以被输入法截获发送给坏人，之后的短信验证码可以被恶意App截获然后再转发给坏人。而这些甚至都不需要root就能完成。前者需要一个有"完全的网络访问权限"的输入法， 后者需要一个有"读取您的文字讯息（短信或彩信）"和"完全的网络访问权限"权限的随便什么App，比如SOSO地图/百度地图/图吧/高德/凯立德，连地图软件都对读短信这么感兴趣，这世界在想什么啊。