面对近期发生的多起相关案例，中行等涉案银行已经采取了不少措施，但其已持续两个月的网银动态口令用户网上资金被盗案件还在发生着。

中信银行电子银行部相关负责人2月16日接受本报采访时建议网上银行客户多使用更有安全保障的Ukey，并在指定计算机和指定时间段来使用。

中国金融认证中心（下称CFCA）相关负责人对本报表示银行动态口令的认证方式存在一定隐患，最好采取以Ukey数字证书为主的多渠道认证方式，比如证书+动态口令+手机验证的认证方式，进一步保证网银用户的交易安全。

中行E令梦魇

据江苏当地媒体报道，1月13日下午5点45分左右，南京市民许先生正准备下班，突然收到一条手机短信：“尊敬的网银用户，你的中行E令将于次日过期，请尽快登录www.bocvk.com进行升级，给您带来不便请谅解，详询95566（中国银行）。”

根据短信提示，他登录了所谓的 “中国银行”的网址www.bocvk.com，看到打开后的网页正是 “中国银行”界面。他根据网页提示，输入自己的用户名、密码以及随机产生的中行E令、身份证号等信息后，页面显示升级成功。可是没一会儿，当他再次登录自己的中行网银账户时，发现账户上的101万元已被转走。

某股份制银行电子银行部总经理这样比喻：这就好比许先生晚上回家，迷迷糊糊地走错了门，走到邻居家去了，并用自己的真钥匙去开邻居家的门。邻居家的门锁则记下了许先生的钥匙形状，复制了一把，再去开许先生家门，则是畅通无阻了。

这个钥匙就是E令卡。它还有个学术名称叫做“动态密码”或“动态口令”，英文名为OTP（OneTimePassword），就是只能使用一次的密码。其原理在于：它通过特定的计算方式在用户处产生一个随机变化的密码，同时银行处也能产生一个相同的密码，用户使用这个密码登录网银时，两个密码相比较，若相同则表示已通过验证，用户可以进行下一步的操作。

因为动态密码完全是随机产生的，这与用户自己设置的、每次都固定不变的静态密码相比，在安全上的确进了一步。

事实上，在国外，因其被认为方便快捷、客户体验很好，动态口令是网银用户使用最多的一种方式，当然其网银安全问题也层出不穷。

民生银行电子银行部相关负责人向本报表示，E令有个致命缺陷，就是银行端可以用这个密码来辨认用户，而用户却无法使用密码来辨认自己登录的是否就是正确的网站；而且动态口令虽然一次一变，但这种变化仍然存在一定的时间周期，通常动态口令在一分钟内都会有效。而就是这短短的一分钟，给不法分子提供了可乘之机。

上述许先生的案例就是在其登录网站输入动态口令时，不法分子便在后台将用户的账号与动态口令数据拦截，并且利用动态口令在一分钟内有效的特点立刻登录中行网银转走用户资金。

数字证书PK动态口令

据各大地方媒体报道，类似许先生的E令惊魂的案例在近期多达上百例。苏州市民唐先生因为类似许先生的经历，其198万余元不翼而飞；杭州萧山的钱先生银行卡里，2万多元一下就缩水成了20多元……

工商银行电子银行部相关负责人表示，此前就认识到了这种风险，通常将以动态口令进行的资金交易限定为小额交易，“一天不超过1万”。

中行称已与公安机关建立了打击电子银行犯罪活动的联动机制，落实网上银行增加“手机短信验证码”以及在系统层面与第三方支付平台联动控制等相关加固方案等防控措施，推进落实数字证书在网银高风险交易中的应用。