從臺灣各家線上銀行的網站所提供客戶的服務項目來看，有些可能隱含不同類型的安全問題。網路銀行讓客戶透過網路驗證身分，確認無誤後，便能透過網路行使原本需要臨櫃辦理的業務。然而，身分認證的資訊如果透過網路傳遞，就必須要考慮傳遞的過程中帶來的風險。比方說跨行轉帳、網路自動櫃員機（Internet-Enabled ATM）、證券交易、基金申購……等服務，都是與金錢、有價商品相關的往來，很容易成為不法之徒注意的目標。倘若交易的過程中，任何一個環節不夠安全和保密，都有可能造成使用者的損失。

採用晶片卡，數位憑證、SET電子憑證、動態密碼卡、HTTPS加密連線等，都是網路銀行的網站基本的安全機制。除了這些基本的安全加密機制之外，還有一些能讓交易更安全的技巧。

在那些需要輸入密碼的表單上，為了避免因為駭客側錄鍵盤動作取得密碼，常常會採用不同於傳統鍵盤輸入的方式，例如以滑鼠在螢幕鍵盤（On-screen Keyboard）或虛擬鍵盤（Virtual Keyboard）上輸入密碼，降低側錄後密碼外洩的風險。如果能打亂原有按鍵順序，即使鍵盤輸入過程被駭客側錄，也不易辨識出真正的密碼。另一種做法是將晶片卡拔出後重新插入，偽裝晶片卡已插入讀卡機的狀態。

有些銀行則會以簡訊的方式傳遞動態密碼，每次交易時，都會將一組動態密碼傳遞到使用者的手機，要完成交易必須要輸入這一組驗證碼才能大功告成。因為每次交易都會重新傳遞驗證碼，因此即使密碼被竊取了，駭客也無法取得驗證碼來進行交易。

網路銀行轉帳部分，最常看到的兩種安全機制是：SSL（Secure Socket Layer，安全電子資料傳輸協定）、SET（Secure Electronic Transactions，電子安全交易）。

SSL提供安全的加密連線，但是使用者在進行轉帳過程中，必須要輸入身分證字號或登入帳號，再加上密碼，雖然SSL加密長度越長，被破解的時間就越久，但是因為需要輸入帳號和密碼，一旦這些資訊遭竊，歹徒就能夠直接以這些帳號和密碼執行登入與轉帳動作，因此不安全，較適合用於查詢或小額轉帳的業務上。

相較之下，SET電子憑證安全嗎？每一個帳戶都必須申請一個數位電子憑證，並搭配電子錢包使用，使用者必須憑藉著電子憑證確認身分，安全性較SSL高。但是由於每一個帳戶就會擁有一個憑證，一旦你所持有的帳戶數量過多，就不太好用，因為相對地憑證數量多會造成管理和使用上的不便。

憑證內容和身分資訊若以金融用XML規格傳遞，則被稱為以FXML（Financial Extensible Markup Language，金融用擴展標示語言）機制進行交易。使用FXML的優點在於，資料傳遞格式是公定的，可以讓憑證很方便地用於各種應用，且因為有一套依循的標準，所以不同的應用供應單位，將能以相同的標準介面提供服務，使用的憑證容易跨越單位與國家的區隔。

以電子憑證進行交易，由於安全上較SSL來得高，因此通常適用於大量、大筆金額的金融交易，一般企業往來的金融交易或員工薪資匯款，都會使用電子憑證來進行交易。

讓我們重新看待個人對網路銀行的使用。不論網路銀行提供的是哪一種安全機制，有一項基本原則很容易遵守，那就是使用者應該避免在公用電腦上網，甚至進行網路交易；使用私人電腦時，也必須留意電腦上是否被安裝和執行可疑的程式。當連上網路銀行的網站，要特別注意瀏覽的這個網頁是否為釣魚網站──每個使用者連至網路銀行交易時，要懂得避免透過電子郵件中的連結，以策安全。

此外，使用銀行所提供的服務時，若需要使用密碼來驗證身分，你必須定期變更密碼，並且避免將密碼設定為生日、身分證字號或其他容易猜測和取得的密碼，更應該避免將密碼抄寫於紙本上。最後，網路銀行的服務使用完畢後，請記得立即登出電腦；若同時搭配使用晶片卡，也要馬上將晶片卡從讀卡機中取出，妥善保管。

參考資料：《iThome企業資安技術應用專刊》作者/威播科技資深工程師梁世璽