中国邮政储蓄银行的UKEY形同虚设

今天（2012年2月6日）到中国邮政储蓄银行（postal savings bank of china）去开通邮政绿卡通的网上银行，为了保障银行账户的资金安全，要求为网银开通UKEY保护，银行工作人员态度不错，而且告知邮政绿卡通不收取年费，日均存款额大于100元也不会收取小额账户管理费，UKEY费用为每个20元。

开始也没注意，后来回到家后发现其工作人员默认将账户开通为UKEY+短信客户，也许这样安全性更高一些吧。

操作系统为64bit正版Windows7 SP1，浏览器为IE9，安装UKEY相关软件、驱动、IE控件和证书，设置UKEY密码，确认网银可以正常使用。然后在一家很有名的B2C网站下单购物并使用此网银付款，到了银行付款页面，进行个人网上银行交易时，将UKEY插入电脑的USB接口，在交易确认页面中，发现竟然有“临时变更为短信认证方式”的选择，于是，点之，手机收到一组临时短信验证码，将此组数字输入到网页上的对应位置，点击确认后，提示付款成功，跳转到商户页面后，可以看到订单状态变成已付款状态。

在整个交易过程中，只需要手机短信就可以完成交易，邮政储蓄银行的UKEY根本没有任何用武之地，所安装的证书和设置的密码都用不上，UKEY完全形同虚设。

当然，在接下来的另一个网络交易中，没有点击“临时变更为短信认证方式”，在USB口插入UKEY后，输入短信认证码和UKEY密码，也可以完成交易。但问题的关键在于中国邮政储蓄银行的网银支付完全可以绕过UKEY。为什么？

难道需要登录网银后自己设置之后UKEY才能强制使用？我仔细的在其官方网站查找，并没有发现可以强制使用UKEY进行交易或者关闭短信认证的相关选项。难道是系统漏洞？

吃惊之余，我在百度和Google中搜索相关事项，发现也有用户发现此问题，并质疑其安全性。

在中国邮政储蓄银行的官方网站（http://www.psbc.com/），我们看到了下面的文字（蓝色文字）：

在开通“短信验证”功能后，在交易过程中会使用手机短信密码来进行双重认证，更大程度地保证您网上交易的安全性。当您忘记随身携带UK时，您可以临时选择使用手机短信进行验证，同时您的交易限额会临时变成手机短信客户交易限额，保证您可以随时随地进行个人网上银行交易。若您想重新变回原客户类型的交易限额，您只需要退出个人网上银行，重新登录即可。

个人网上银行客户类型及相应业务限额：

“UKEY+短信”客户转账、跨行汇款、网上支付业务，单笔及日累计交易限额均为100万元；汇兑业务，单笔交易限额5万元、日累计交易限额100万元；跨境汇款业务，单笔汇出等值2000美元（含）、每日累计等值5000美元（含）。

手机短信客户转账、跨行汇款、汇兑业务、网上支付业务，单笔及日累计交易限额均为1万元。

拨打中国邮政储蓄银行的客服电话95580，其客服人员明确告知邮储网银系统必须使用手机短信认证，且无法关闭“临时变更为短信认证方式”这个功能，只要客户使用邮储的网银业务就必须绑定一个手机号码用来接收短信认证，UKEY适用于单笔1万元以上的网络交易认证。客户网银虽然绑定了邮储的UKEY，但是，只要是单笔1万元以下的网络交易，就可以绕过UKEY认证，直接通过手机短信验证码认证支付。

这就意味着在没有UKEY的情况下，我们也可以使用手机短信进行单笔1万元的网络支付（转帐），而普通人的网络消费金额大部分在几百元至几千元，那么这个庞大的网络消费者群体的网络交易安全就无法得到UKEY的保护。UKEY的意义又何在？只为了大额交易而生吗？小额交易没有资格得到UKEY的保护？

我想，也许邮政储蓄银行此举的出发点是好意的，是为了方便那些不愿随身携带或忘了带UKEY的人，但是邮政储蓄银行的工作人员没有想到客户去办理UKEY的目的就是为了保证其每一笔资金都得到UKEY的保护吗？至少应该让客户可以自由选择是否开启“临时变更为短信认证方式”功能，而不应该对所有客户强制开启此功能。

个人认为既然认证方式为“UKEY+短信”，就必须要求这两个条件同时存在，交易方可完成，缺一不可；或者允许客户在网银客户端页面可以自行关闭“临时变更为短信认证方式”，强制使用UKEY来认证；或者可以让客户自行设置在无UKEY保护下通过短信交易的最小金额，以最大程度保证客户资金安全。

建议广大邮储客户，尽量不要在开通网银的储蓄卡中放置大额人民币，且不要使用信用卡开通网银，以避免网络风险。

2012年2月29日补充：近日发现很多网站转载我的这篇文章，但大多数网站没有写明此文章来源于乔大海个人网站（www.qiaodahai.com），在这里提出强烈抗议。