中國郵政儲蓄銀行的UKEY形同虛設

今天（2012年2月6日）到中國郵政儲蓄銀行（postal savings bank of china）去開通郵政綠卡通的網上銀行，為了保障銀行賬戶的資金安全，要求為網銀開通UKEY保護，銀行工作人員態度不錯，而且告知郵政綠卡通不收取年費，日均存款額大於100元也不會收取小額賬戶管理費，UKEY費用為每個20元。

開始也沒注意，後來回到家後發現其工作人員默認將賬戶開通為UKEY+短信客戶，也許這樣安全性更高一些吧。

操作系統為64bit正版Windows7 SP1，瀏覽器為IE9，安裝UKEY相關軟件、驅動、IE控件和證書，設置UKEY密碼，確認網銀可以正常使用。然後在一家很有名的B2C網站下單購物並使用此網銀付款，到了銀行付款頁面，進行個人網上銀行交易時，將UKEY插入電腦的USB接口，在交易確認頁面中，發現竟然有“臨時變更為短信認證方式”的選擇，於是，點之，手機收到一組臨時短信驗證碼，將此組數字輸入到網頁上的對應位置，點擊確認後，提示付款成功，跳轉到商戶頁面後，可以看到訂單狀態變成已付款狀態。

在整個交易過程中，只需要手機短信就可以完成交易，郵政儲蓄銀行的UKEY根本沒有任何用武之地，所安裝的證書和設置的密碼都用不上，UKEY完全形同虛設。

當然，在接下來的另一個網絡交易中，沒有點擊“臨時變更為短信認證方式”，在USB口插入UKEY後，輸入短信認證碼和UKEY密碼，也可以完成交易。但問題的關鍵在於中國郵政儲蓄銀行的網銀支付完全可以繞過UKEY。為什麼？

難道需要登錄網銀後自己設置之後UKEY才能強制使用？我仔細的在其官方網站查找，並沒有發現可以強制使用UKEY進行交易或者關閉短信認證的相關選項。難道是系統漏洞？

吃驚之餘，我在百度和Google中搜索相關事項，發現也有用戶發現此問題，並質疑其安全性。

在中國郵政儲蓄銀行的官方網站（http://www.psbc.com/），我們看到了下面的文字（藍色文字）：

在開通“短信驗證”功能後，在交易過程中會使用手機短信密碼來進行雙重認證，更大程度地保證您網上交易的安全性。當您忘記隨身攜帶UK時，您可以臨時選擇使用手機短信進行驗證，同時您的交易限額會臨時變成手機短信客戶交易限額，保證您可以隨時隨地進行個人網上銀行交易。若您想重新變回原客戶類型的交易限額，您只需要退出個人網上銀行，重新登錄即可。

個人網上銀行客戶類型及相應業務限額：

“UKEY+短信”客戶轉賬、跨行匯款、網上支付業務，單筆及日累計交易限額均為100萬元；匯兌業務，單筆交易限額5萬元、日累計交易限額100萬元；跨境匯款業務，單筆匯出等值2000美元（含）、每日累計等值5000美元（含）。

手機短信客戶轉賬、跨行匯款、匯兌業務、網上支付業務，單筆及日累計交易限額均為1萬元。

撥打中國郵政儲蓄銀行的客服電話95580，其客服人員明確告知郵儲網銀系統必須使用手機短信認證，且無法關閉“臨時變更為短信認證方式”這個功能，只要客戶使用郵儲的網銀業務就必須綁定一個手機號碼用來接收短信認證，UKEY適用於單筆1萬元以上的網絡交易認證。客戶網銀雖然綁定了郵儲的UKEY，但是，只要是單筆1萬元以下的網絡交易，就可以繞過UKEY認證，直接通過手機短信驗證碼認證支付。

這就意味着在沒有UKEY的情況下，我們也可以使用手機短信進行單筆1萬元的網絡支付（轉帳），而普通人的網絡消費金額大部分在幾百元至幾千元，那麼這個龐大的網絡消費者群體的網絡交易安全就無法得到UKEY的保護。UKEY的意義又何在？只為了大額交易而生嗎？小額交易沒有資格得到UKEY的保護？

我想，也許郵政儲蓄銀行此舉的出發點是好意的，是為了方便那些不願隨身攜帶或忘了帶UKEY的人，但是郵政儲蓄銀行的工作人員沒有想到客戶去辦理UKEY的目的就是為了保證其每一筆資金都得到UKEY的保護嗎？至少應該讓客戶可以自由選擇是否開啟“臨時變更為短信認證方式”功能，而不應該對所有客戶強制開啟此功能。

個人認為既然認證方式為“UKEY+短信”，就必須要求這兩個條件同時存在，交易方可完成，缺一不可；或者允許客戶在網銀客戶端頁面可以自行關閉“臨時變更為短信認證方式”，強制使用UKEY來認證；或者可以讓客戶自行設置在無UKEY保護下通過短信交易的最小金額，以最大程度保證客戶資金安全。

建議廣大郵儲客戶，盡量不要在開通網銀的儲蓄卡中放置大額人民幣，且不要使用信用卡開通網銀，以避免網絡風險。

2012年2月29日補充：近日發現很多網站轉載我的這篇文章，但大多數網站沒有寫明此文章來源於喬大海個人網站（www.qiaodahai.com），在這裡提出強烈抗議。