一月 182013
 

這一篇文章主要是要消除對於EZFine自動下載功能安全性有疑慮的使用者。藉由介紹EZFine網路下載功能運作的方式讓使用者能更安心的使用此一便利的功能。

EZFine 資料安全政策中所述,EZFine 透過個人網路銀行自動將個人的銀行交易資料下載是安全的。但由於大部份的使用者並非專業IT出身,對於EZFine 資料下載的作法或多或少有安全上的疑慮,因此在使用上一直不敢嘗試這種創新的作法而寧可手動一筆筆輸入交易資料,相當可惜。這裡我們簡單敘述及比較兩種:標凖及EZFine,的網銀資料擷取方式來讓更多的使用者放心使用。

先來看看一般我們透過瀏覽器 (IE 只是舉例,其他瀏覽器也是一樣) 連接上網到銀行網站的資料擷取過程。注意,這個過程是您原本以瀏覽器自行到銀行網站瀏覽的機制,完全和EZFine無關。

image

其中步驟2-https連線是整個資料瀏覽過程的重點。它是由銀行本身所提供的一種加密的標準連線方式,透過它可讓我們在網路連線時能更安全的瀏覽機密性的資料。連線資料通常會利用一組64位元或128位元的字串來加密,所以整個過程其實就是一套加密及認證的過程。至於它的安全性如何?在上述的標準連線程序中,有幾種資料外洩的可能:

  1. 個人保管的帳號密碼外洩
  2. 個人電腦被值入木馬程式,所有的鍵盤輸入都被側錄起來
  3. https 連線被監聽
  4. 銀行主機被駭客入侵

大家會覺得是那一種最有可能發生?答案並非是一般人所害怕的第三種-https連線被監聽,而是第一種-個人的帳號密碼外洩。外洩的種類包括把密碼寫下來怕忘寄,或者是太容易被猜出。另外上述第二種也是資料外洩常生的的管道,但通常是在公用電腦上發生。另外第四種的資料外洩也偶爾會聽到,但大多不是銀行,而是一些購物網站之類的。所以只要個人在資安的事情上稍微注意些,要發生資料外洩的機率是很低的。

上圖的機制是完全沒有EZFine 介入一般個人在使用網銀連線的方式。再來看看EZFine 是如何運用上面這個機制,並且在不增加任何安全性的風險下擷取到個人網銀資料的過程:

image

和一般標凖的連線模式不一樣的地方:

1-1: 使用者帳號及密碼是輸入並儲存在 EZFine 本身的加密資料庫中。

1-2: EZFine 只是扮演代理人的角色,幫忙把帳號及密碼輸入到瀏覽器中,並自動驅動瀏覽器和銀行主機連線。

1-3: 當連線成功後,EZFine 再次扮演代理人的角色,幫忙點選網銀網頁,查詢到所需的資料後,直接從網頁頁面上擷取資料並自動登出網站。而所擷取到的資料也同時存入到加密的資料庫中。在這過程中,EZFine完全只是模仿人類的行為,幫忙點選網頁,其他他和網銀主機溝通的機制完全和標準連線的模式一樣,這也就是為什麼說EZFine 在無增加任何安全性風險的情況下從網銀下載資料。只要您相信銀行所提供的安全連線方式是安全的,則EZFine的連線安全您也可以完全相信。

另外有使用者也可能擔心EZFine 是否會將所儲存的個人帳號密碼外洩。這一個問題我們從幾個面向來回答:

  1. 所有的帳號密碼都是存在加密的資料庫中 (如上圖),唯一的風險就是您EZFine的資料檔被竊取,且資料檔的密碼被破解。資料檔的加密是採用 RC4 演算法,只要密碼不要設得太簡單容易被猜到,安全性上是足夠的。
  2. 如上圖所示,EZFine 的所有動作都在本機端上運作,它只會從網路上下載資料,決不會自行(未經使用同意)將資料送出到本機端以外的電腦。
  3. 另外為了讓使用者放心EZFine在網銀資料的擷取過程中沒有做出超過使用者預期的事情,整個網銀資料的擷取過程都會在螢幕上動態顯示(可選擇自行關閉),使用者可以清楚的看到EZFine所有的執行動作,確保安全無慮。

資料安全的問題只有相對沒有絕對的。所以相對於之前一般的標準網路銀行登入方式,EZFine 並沒有比較不安全,反而因此提升理財上的便利性。希望這些解釋能讓有疑慮的人釋懷。若還有任何問題,歡迎提出討論。

參閱:EZFine 資料安全政策
 Posted by at 20:58:00

您可點選下方留言