四家银行的UKEY使用体验

随笔 0 Comments

由于我的USB集线器已经没有更多的接口来插各个银行的UKEY了,所以就暂且用这四个做一下测试吧,分别是中国工商银行,中国农业银行,兴业银行,广东发展银行,广发行的UKEY是昨天才去免费领取的,一不小心又成了广发的焦点客户,下面我们从软件易用性,功能多样性,流程顺畅与否等一些方面来对这四个银行的UKEY进行一下测试。

首先测试的是中国工商银行的UKEY,为无驱有软型,工商银行设置的UEKY私钥验证点都在帐户金额变动的环节,比如转账,网上支付,在登录和查询余额一些操作中,无须使用UKEY,他们的客户端软件使用的是金浦斯一个下属合资公司金邦达出品的工具,软件操作界面友好简单,只有校验密码,修改密码,查看证书三个功能,查看证书必须验证密码,但查看的证书中并不包含私钥信息,这是一种错误的做法,因为从IE浏览器可以很容易的查看到证书而无须验证密码,在网银使用的过程中,登录网银需要帐户密码(不是UKEY密码),帐户密码是可以被窃取的,这种方式,可以确保帐户金额不会在没有UKEY的状态下被转出,但是它无法确保在没有UKEY的情况下有人能够窃取你的密码并且查看你的帐户余额,然后只要你的帐户金额不出户,基本上无须考虑UKEY的存在。


接下来是中国农业银行的UKEY,为无驱无软型,必须为UKEY安装驱动,他们使用的是中国华大(中国电子信息产业集团与国家开发投资公司合资)开发的客户端软件,农业银行的客户端操作界面较为复杂,可以验证密码,修改密码,查看证书,注册证书到电脑,甚至可以修改UKEY的卷标,这对于可能有着多个UKEY的用户来讲还是比较有用的功能,农业银行的UKEY查看证书是无需验证密码的,将公钥注册到电脑也是无需密码的。在网银使用的过程中,登录网银需要UKEY密码,不需要输入帐户密码,这能有效的保障帐户金额安全和帐户登录安全,不会出现工商银行可能存在的帐户密码失窃而可能造成的帐户金额泄漏(隐私泄漏),但是,农业银行并不存在一个禁用普通版网银的选项,也就是说,完全可以使用帐户密码通过选择登录农行网银的普通版本来达到窃取帐户金额信息的目的,农业银行设置的私钥验证点除开登录环节,其余验证点都在帐户金额变动的环节,其UKEY密码输入框是有别于其它银行客户端软件的一大特色,是仿XP注销登录的灰色背景,能明显让人注意到密码输入框。


以上两大银行,使用的CA是自己的CA,也就是说UKEY用户的分配权都在自己的手中,而可能产生的误差也在自己的手中,一旦CA系统被攻破,将不会像第三方CA那样易于承认自己的过失,而有着隐藏错误的可能,当然,自建CA在一定程度上能提高用户登录速度,增加操作的流畅性,工商银行的客户端软件启动程序最多,有三个,均为金浦斯的程序,虽然不太清楚各自的功能,但三个程序未免太过了一点,农业银行的客户端软件启动程序只有一个,但是它安装了一个服务到系统中,如果不考虑运行级别,那么理解为两个程序是可以的。

兴业银行和广东发展银行使用的均为第三方CA和方案,也就是中国金融认证中心(CFCA)的方案,而CFCA的UKEY真是千奇百怪花样百出,他们的UKEY均为无驱有软型,兴业银行使用的UKEY是捷德公司的硬件,捷德是一家历史悠久的金融公司,但客户端软件估计是自行开发的,界面极为难看,但功能还不少,可以修改密码,查看证书,登录网银,下载证书,当然,登录网银和下载证书只是两个URI的快捷方式,但是对于一些普通用户来讲,这两个链接还是有很大意义的。在网银使用的过程中,登录网银需要验证双重密码,首先是UKEY密码,然后是网银帐户密码,这纯粹就是多此一举,还好它不需要验证卡帐户密码,要不就可以整个三重密码验证出来了,兴业银行的网银功能不是很齐全,界面也很难看,还需要长足的发展,兴业银行设置的私钥验证点和农业银行是一样的。唯一值得称道的就是兴业银行的客户端软件没有启动程序,因为它是以一个系统服务的形式存在。


广东发展银行的UKEY很难看,是几个UKEY里面最难看的,福建一个叫做明华公司的产品,但是其公司网站上并没有UKEY或者类似的产品,广发行的UKEY客户端软件功能不多,只有修改密码和查看证书,但是使用起来非常符合计算机使用习惯,修改密码的功能在下拉菜单中,在网银使用的过程中,和兴业银行一样,登录网银需要验证双重密码,首先是UKEY密码,然后是网银帐户密码,如同我之前预料的一样,他们使用了相同的浏览器控件,每个银行都会把两家银行的证书都读出来,如果不是后面有符号区分,恐怕普通用户是很难识别出到底哪个才是应该选择的证书,实际上,广发行的证书版本网银在现在看来就是个鸡肋,因为它和普通版本在使用上没有什么区别,唯一的区别是在转账支付额度上,而此额度的调整,在申领UKEY的时候已经在柜台完成,当然,调整网上支付额度还是需要登录证书版本网银重新进行设置的,这一流程显得很不人性化,大大的增加了客户操作步骤。


综上,得出一个表格,单项满分为五分,总分满分为二十分,我从易用性,界面,功能,流程几个方面进行了打分,其中,工商银行登录未使用UKEY密码验证,使用的流程和其它三个银行略有不同,但是两种流程无法分出优劣,而对兴业银行和广发行的流程扣分主要体现在双重密码验证上,这是完全不必要的累赘步骤,至于易用性和界面,相信这是肉眼都能看到的。得分最高的是工商银行和农业银行,其中,工商银行客户端软件的证书查看需要验证密码的错误流程本来是应该扣分的,但是考虑到软件是金邦达的成熟方案而且在查看证书的时候略有区别,所以不扣分,这个结果让我很是意外,原以为工商银行的最佳网银是浪得虚名,一比较才发现,原来其它银行更垃圾。