据了解,目前有许多黑客软件会偷偷隐藏在电脑的操作系统中,记录用户操作电脑的所有按键,甚至可仅在特定软件启动执行后才开始记录。更有甚者,软件会自动将按键记录通过电子邮件发送给安插黑客软件的黑客。黑客利用收到的按键记录,对你登陆网上银行所使用的用户名和密码就一目了然了,有了上述条件,他们自然可登陆你的网上银行而为所欲为了。虽然在没有电子证书的前提下,他们还不能使用诸如转账这样的高级功能,但依旧可利用你的网上银行,进行一些其他的破坏活动。
静态模拟键盘:依旧能被偷窥
为解决直接输入可能造成的密码泄露,部分网上银行采用了模拟键盘输入密码方式。和以往直接利用键盘输入密码不同,这种方式屏幕会弹出一个虚拟键盘,你必须用鼠标点击屏幕上虚拟键盘的对应键位,才能完成输入密码步骤。由于整个过程不涉及任何键盘操作,所以即使使用的电脑中不幸被植入黑客软件,软件也无法通过记录按键来偷取密码。虽然黑客软件同样也可记录鼠标移动的幅度和鼠标按键的顺序,但由于这些信息无法直接和密码对应,几乎是无效信息。
当然,为了方便用户,许多银行在将虚拟键盘作为默认的密码输入方式时,仍允许用户点击某个按钮切换到键盘输入模式。这里建议读者,如果是在公共电脑上使用,切勿为了偷懒而切换到键盘输入模式,虽然省力,但隐患却太大。
虽然利用模拟键盘可规避按键记录造成的密码泄露,但仍存在安全隐患。为方便用户使用虚拟键盘,许多银行推出的都是静态虚拟键盘,其按键位置安排,与我们使用的键盘完全一致,尤其在仅需输入数字密码的场合,一般都模拟九宫式数字键盘。由于现在用户的屏幕越来越大,相应模拟键盘所占屏幕面积也越来越大,有心人只需在背后窥探密码输入时鼠标所在的屏幕位置,即使看不清楚具体点击的按键,却依旧可推测出你所按的键位。
动态模拟键盘:按键越小越安全
为解决静态模拟键盘的安全隐患,又有部分网上银行采取动态模拟键盘来输入密码。相比静态模拟键盘,动态模拟键盘上的键位与常用的键盘并不相同,而且每个按键的位置都是随机决定,每次使用都不尽相同。通常的数字键盘采用动态键盘,你所看到的就不是常见的1234567890这样的键位顺序,而很有可能是3850872416这样排列顺序非常无厘头的键位顺序。
每次完全不同而且毫无规律的动态模拟键盘,虽然在输入密码时需要寻觅一下具体按键的位置所在,但是对于周围不安好心的窥探者,通过窥视鼠标位置推断按键也几乎成为不可能。
当然,同为动态模拟键盘,不同网银安全程度也有所不同,部分模拟按键设计的非常之大,使窥探难度大大降低;而部分则设计到使用者刚刚看到而已,使身边窥探难度极高。
