从今年9月下旬到10月12日,北京各大报纸的头版头条多次报道股民股票账户被恶意操纵事件:在银广夏股票连续5个跌停日,全国9位股民的账户上股票被盗卖后再被盗买入银广夏股票,涉及到6家证券公司的7个营业部,9位股民的资金顷刻间化为乌有,股民累计损失达126.56万元,令人痛不欲生!血淋淋的事件发生后,引起了社会的广泛关注。信息安全行业的专家从技术的角度对这一事件进行了综合思考,呼唤金融证券行业改变目前普遍采用的静态加密方式给广大消费者带来的安全隐患。
一、 这一事件不是孤立的
“银广夏事件”从信息安全的角度讲是有人未经合法授权进入主人账户对原有信息进行篡改的典型案例。在证券市场不是今天才有,历史统计资料显示近年有逐渐增多的趋势:
近日,江西省上饶市公安局破获了一起电脑黑客袭击证券公司案件。犯罪嫌疑人邬子亮在不到两个月的时间里,破解了申银万国上饶营业部的78个股民账号交易密码,并加以修改,导致部分股民无法进入电脑交易系统,股民的账户被“黑客”任意操纵,共产生非法交易额530多万元。
同类的案件也不仅限于证券市场,在银行储蓄、电信行业的上网卡、IP电话卡资金被盗的案件也时有发生:
2001年6月,西安的王某伙同其舅徐某,乘储户填单或取款之机,假装打手机,将储户的账号、密码偷偷记在手机上,或乘储户丢弃取款凭条之机得到储户账号,徐用空白磁卡通过电脑伪造出信用卡返回西安窃取储户资金,仅6月11日至20日10天时间,王某就从西安的多家银行柜台和ATM自动柜员机前窃得10余个信用卡账号、密码,然后以转账和取现金的方式将一储户4.5万元现金盗走,总计盗窃金额6.4万元。
以上案件都已见诸于报端,但新闻披露的案件数与实际存在的案件数的比例是1∶500,“银广夏事件”不是偶然的。
这些案件也不是孤立的。进入客户的资金账户原则上只有二个入口,一个是柜台服务前端,如柜台、热自助电脑、电话、手机、网上交易电脑;一个是金融机构计算机系统管理后端。以后一种方式进入,需要金融机构内部管理最高级别的授权、计算机系统开发机构的配合、很高的计算机专业知识,进入成本高,难度很大;而从前端进入客户账户只要得到账户主人的两串数字,一是用户在金融机构的名字,即资金账号或股东账号,这串数字是固定的,以明文存放;另一串是客户自设的密码,目前金融机构要求的长度不超过6位,以密文存放。为便于记忆防止遗忘,客户往往很长一段时间不会修改自己的密码,在很长一段时间里是静态的。
得到这两串数字的难度、成本及对计算机专业知识的要求比后一种进入方式的要求低得多,以往的案例表明受害者的账户和密码被知识和素质并不很高的罪犯以很传统的方式获得就证明了这一点。
“银广夏事件”集中在账户被窃、更主要的是密码被破这个环节上,客户的隐私、商密和金融资产由一串固定数字和一串静态密码把守,一旦失窃,账户就可以被肆意“蹂躏”。
二、 关键问题是密码强度不高
密码把守的都是客户的重要隐私、商密和金融资产,账户信息如股票持仓量,即使是泄露,也会在自己根本无法察觉的情况下造成重大经济损失。金融机构的信任临界点很高,一旦有相关案件发生,还会对金融证券机构的信誉造成损害,引发信任危机,造成社会不稳定。百姓对金融机构的信任源于安全。这也是金融机构立足之本,即使只有万分之一的发案率,对于受害者本人来说也是百分之百的损失,这对投资者的投资热情和积极性都是极大损伤。应该说,系统没有100%的安全,而是要把它控制在各方都能接受的范围。
在密码失窃案件发生后,作为弱势群体的受害者,知情和举证相当困难。知情难包含二层意思:一是系统对客户是不透明或半透明的,如果信息不被篡改而是泄露,只是偷看客户的账户信息,客户很难知情;二是危害发生后客户只有下次登录时才发现。我国法律规定“谁主张、谁举证”的原则,弱势群体由于客观因素和计算机专业知识的限制,难以举证,难以让有关部门采信。投资者冒投资风险的同时,还要为交易安全担忧,不利于证券市场长期持续健康的发展。
股民毕竟是特定人群,还有很多是机构。但银行和电信涉及的面就要大得多。银行业务呈现出快速的向远程和无纸化发展的特点,电话银行、手机银行、网上银行、自助银行业务拓展得很快,信用卡业务实际上与炒股的业务模式极其相似,同样也有密码强度不足的隐患。
三、 密码强度不高是系统性问题
为什么说是系统性的问题?因为这些案件的发生有一定程度的必然性:
1. 金融服务从传统的面对面的、有纸化的柜台交易逐渐向远程、无纸化虚拟柜台发展,这是市场竞争的必然结果,也是大势所趋。如热自助炒股、ATM机、电话炒股、网上炒股、手机炒股。
2. 用账户和密码对远程客户进行身份认证的方式必然还在很长一段时间内存在。一是便捷性的要求,口令式密码与生物认证如指纹、虹膜认证、IC卡认证、CA认证方式相比,用户使用非常方便,只要在有十进制数字的键盘上键入即可,线路上传输的数据量最小,后端服务器数据调用量最小、速度最快;二是口令式密码认证方式实现的成本最低,不需要专用的生物感应器、IC读卡器和其他专用设备,这也符合我国电话网发达的国情;三是由认证规则决定的,远程认证至少是双因素认证,即你是谁(生物认证)、你有什么(资金账户、资金卡、信用卡)、你知道什么(密码)中的两个因素。远程生物认证目前根本无法实现,而用IC卡加资金账户认证都集中在你有什么一个因素上,所以密码加资金账户双要素认证在很长一段时间内将继续存在。
3. 客户资金账户完全由静态密码把持,强度不够是系统性问题,与个体意义上的用户和金融机构无关。静态密码在众多使用环节都存在被破的可能性,有些手法并不需要很高的技术和成本。
从以上三点我们可以看出,金融机构为加强竞争,更多地采用IT技术和现在的电话网络对客户提供远程服务是必然趋势,用密码对远程客户进行身份认证在很长一段时间是主要甚至是唯一的方式,而目前静态密码的安全强度已不够。所有这些既定因素都是系统性的,与用户和金融机构无关。
四、 运用科技手段保障密码安全
问题的解决集中在口令式密码强度的提高上。提高密码强度可通过两个途径,一是加大密码的长度,20位密码比4位密码更难破解,但在记忆和录入上带来很大难度,60岁以上的老人记忆超过6位以上的密码已被实验证明是不可行的,过长的密码在商业上不具备推广的可能性。
第二个途径是将静态密码变成动态的。从密码学角度来讲,一次一密是最安全的,密码用一次就作废,排除在修改密码时密码在线路上被截获的可能。动态密码卡在国外已经被很多行业成功地推广应用,累计销售额在1000万张以上。如瑞士银行个人业务、西班牙国民银行公用事业费缴纳和信用卡业务、美国银行的个人业务、日本东京电力局电力收费系统、台湾证券公司股票交易系统、大量的大型企业内部人员管理等等。
