电子银行安全验证 - 金融行业 - ITPUB论坛－专业的IT技术社区

wangjia

最近在移动的网站上打了一个详细话费单，觉得移动的安全验证做的不错；
做法：根据特定生成动态密码（服务端生成），并通过短信的方式将动态密码发送给用户，然后用户交易时，输入相应的动态密码，后台验证；
简单想了一下，觉得如果电子银行将这种方式考虑到电子银行的安全验证里的话，那么电子银行的安全性可能会进一步
提高；
简单思路：
在电子银行端提供生成动态密码功能，服务端生成密码后将密码通过短信的方式发送给客户；其它交易提交时，加入动态密码域，需要用户
输入动态密码并在后台验证；
当然验证的粒度也可以由涉及来决定：即到交易粒度，还是session粒度（主要是针对网银）；
具体涉及的考虑点：
1 通知签约（可以和短信签约集成）
2 验证粒度
3 动态密码管理（算法，有效期等）
比原有短信通知的好处:
原有的通知都是事后处理；
现有的通知可以预先通知；
动态密码可以提高密码的不确定性，有助于提高安全性；
具体的应用可以设计所有的电子自助设备，像ATM，CDM，网银，电话银行都可以适用；
只不过ATM，CDM的投入可能会很大，不过这可能也是一个商机，呵呵
因为我们公司不做这块，呵呵，没有用武之地，希望给做这些业务的兄弟们提供一点建议；
你想到的这些有些银行已经在用了，比如我用招商银行网上支付的时候，有个步骤就是手机短信发密码给我，我要输对了这个密码交易才能成功。