绝大多数国内的银行要求用户安装基于微软浏览器的独家“插件”来使用其线上功能。这类“插件”除了提供某些特定功能之外,比如驱动”U盾”,往往声称能够提高易用性,稳定性和安全性。据我了解,美国和欧洲网上银行是不需要用户安装这种类型的Active-X插件的。有些银行曾经要求用户安装Java插件,他们的线上银行系统开发的比较早,客户端需要借助Java完成所需的功能。很多银行也推荐一款以色列的安全浏览器插件免费提供给用户,据说是具备防止恶意软件,防钓鱼等功能。但这些插件的安装对于用户来说是可选的。即使不装,也一样能使用网上银行的系统。
在一点上,韩国的互联网文化和中国倒是很相似。韩国所有的银行只支持微软浏览器,而且必须安装Active-X插件后才能登录。用户常常需要安装4到6个“安全插件”用来数据加密,防病毒等等才能使用网上银行。韩国本土一家软件公司为“安全插件”提供解决方案。公司的创始人原本是位医生,现在是成功的商人,韩国媒体称赞他抵御网络攻击起到了中流砥柱的角色,他慷慨,富于社会责任,就在上个月,他宣布参加韩国总统竞选。Kim Kee-Chang是韩国一所大学的法学教授,最近几年致力于提高韩国互联网的开放性,呼吁韩国网站改变对非微软的操作系统,浏览器兼容性差的问题。他为此输了一些官司。他将韩国过分依赖于Active-X体系称之为“安全的幻象”,除了通过过时的技术让软件公司挣钱之外什么也没有做。和中国不同的是,韩国的金融安全管理机构规定必须使用Active-X,因为韩国在90年代独创了一套加密算法,而在过去很长一段时间,浏览器必须通过插件才可以支持该算法。
我认为安全插件并不能有效地保障网银的安全。商家喜欢标榜“安全”,因为这是一个太含糊的词,用户并不知道这里面包含什么。比如安全插件可能会提供验证网站SSL证书的功能,但是浏览器缺省的也具备这项功能。如果用户无法理解系统给出的“无效SSL证书”的提示,我毫不奇怪他会在其他的地方被钓鱼,也许钓鱼的手段更为简陋。但问题是,“安全插件”能在多大程度上避免计算机水平低的人士误操作,这样做往往是有代价的,插件安装常常需要用户以不受任何权限限制的角色登录系统,本身更容易让用户下载,运行恶意程序危害计算机系统的安全。总而言之,安全性是由很多因素所决定,网银的插件能防范一些攻击,但不能就说安装后安全性就提高了。我建议银行方面不妨组织一次大规模的随机对照试验来验证一下网银插件究竟对安全性有多大提高。比方说全国找出20万用户,分成每组10万人的两组。两组试验对象的各种可能影响结果的要素分布尽可能接近,比如年龄,收入,网上银行使用频率,计算机水平等等,在网络银行增加一些设置使得对于一组用户总是需要“安全插件”的安装才能登录,而另外一组不用专门插件而用标准化的新技术保障安全,过一年再来统计看看两组中银行账户被恶意攻击的发生率上是不是有显著性的差异。
中国的银行应该以西方银行为榜样,充分认识新的网络标准和技术,比如HTML5的优越性,尽快地应用这些技术加强网络的开放性。而不是像韩国现在这样,让用户被少数软件厂商所束缚。而迈出的第一步可以是重新设计一套登录页面,不需要用户安装任何独家的插件,只要有能支持最新HTML标准的浏览器,就能安全使用网络银行。无论你使用何种平台,哪家公司的浏览器,都可以在网站变得更开放的同时受益–更方便地使用网路银行。