开放的互联网环境、对信息技术的更充分的利用，在为用户提供更多便捷的同时，把信息安全的问题摆在了每个人面前。
　　近日，绿盟科技发布了《个人网上银行登录安全研究报告》（下称报告）。该报告样本选自2012年末标准普尔发布的“中国50大银行”，由绿盟科技的安全专家对这50家银行的个人网上银行登录进行了调查、分析和深入研究，并给出了较为全面的比较和分析。无论是个人网上银行用户，还是银行从事网上银行安全工作的相关人士，都可以从中获得借鉴。
　　安全策略丰富但仍有不足
　　安全会话、身份鉴别、输入保护、验证码、失败处理、浏览器功能屏蔽、预留信息、登录提醒及限制策略……网上银行安全防护策略层出不穷。报告显示，安全措施日益多样且细节丰富。然而，安全和便捷总是一体两面，安全策略的应用必然会降低便捷和效率。比如，验证码仍然是给中国网上银行用户登录带来负面体验的安全策略之一。
　　此外，需要指出的是，并非安全策略应用的越多就越安全。一方面，有些安全策略并未起到应有的作用或者作用并不明显，比如预留信息的安全作用就并不明显，又如与登录限制相关的策略如“密码有效期限制”、“登录电脑限制”、“登录时间或IP地址限制”和“登录频率或地域限制”虽然被11家银行采用，但由于并非默认项，所以并未起到应有的作用。
　　另一方面，一些安全策略虽然有效但也存在不足。报告显示，被调研的所有个人网上银行网络通信均采用超文本传输安全协议（HTTPS）方式，应用安全套接字层（SSL）来建立安全信道。然而，绿盟科技项目经理李海涛认为，SSL通常是安全可靠的，但有两点可使SSL的安全性大大降低：一是低强度对称加密算法的使用，弱加密可以使系统辛辛苦苦建立起来的会话密钥轻易被破解；二是数字证书的公私钥对可猜测。
　　解决五大威胁是关键
　　防与攻是信息安全与威胁永恒的博弈。报告指出，网络钓鱼、恶意代码攻击、暴力破解密码、登录的恶意滥用以及用户身份假冒仍然是目前中国网上银行登录的五大安全威胁。
　　“钓鱼网站的存活期以小时计算，仅靠黑名单的防护方法并不及时和足够，如何在客户端动态有效地甄别钓鱼网站是一项有挑战性的课题。”绿盟科技项目经理蔡昆认为。虽然钓鱼网站的技术原理并不高深，但是利用了人的无知，钓鱼网站仍然是个人网上银行登录安全的最大威胁。报告指出，在恶意代码攻击方面，目前在采用安全控件的网上银行中，多数安全控件能够防御常见的截获攻击，如Windows API截获、HOOK截获、键盘中断等，且近半数的安全控件具备抗逆向分析的能力。另外，在使用软键盘的网上银行中，近半数软键盘进行了防截屏设计。而暴力破解攻击在逐步降低，但仍不可忽视。
　　在与威胁对抗的过程中，银行的安全措施起到了明显作用，但是，对登录的恶意滥用和用户身份假冒尚无有效的解决办法，依然让人头疼。
　　此外，报告还从监管机构、技术的局限性两个视角对网上银行登录安全进行了分析。总之，信息安全永远没有终点，需要技术、管理机制等方面的共同努力和进步。正如绿盟科技资深安全顾问白雷所讲：“没有100%的安全。我们建议各网上银行提高自身的抗打击能力，最大限度提高攻击的成本和实施攻击的难度，并对网银客户端综合采取防护、管理、控制与审核等多层次、协调一致的安全措施”。