E令到底存在怎样的问题？

　　中国金融认证中心相关负责人告诉记者，目前用户端网银安全工具主要包括：数字证书、动态口令、手机验证三种。得到广泛使用并且安全保障程度较高的是数字证书，通常被存储在USBKey(俗称的“U盾”)之中。用户在登录银行网站进行交易时，在电脑上插入Ukey，就相当于向银行亮出“网络身份证”。

　　UKey硬件本身有一个PIN码，相当于我们银行卡的密码，当用户在电脑中插入UKey时，只有在输入PIN码以后才能使用。同时，UKey证书中不仅包含用户的身份信息，还包含另外一段由用户独有的特殊数据信息，在学术上叫做“私钥“，只由用户自己所特有，而且每个用户持有的都不相同。用户每次在网银中交易时，交易的关键信息都会送入USBKey，在USBKey中进行电子签名。简单来说，只要USBKey在用户手中，黑客就很难拦截这个密码，即使得逞也难以完成转账。招商银行、工商银行等目前采取的就是以USBKey为主的安全工具。

　　而中国银行选择的是用动态口令保护用户网银安全。动态口令就是只能使用一次的密码，这种动态密码的原理在于：它通过特定的计算方式在用户处产生一个随机变化的密码，同时银行处也能产生一个相同的密码，用户使用这个密码登录网银时，两个密码相比较，若匹配则表示已通过验证，用户可进行下一步的操作。

　　中行“E令”，实际上就是“电子动态口令生成器”，是由中国银行推出的一种硬件动态口令牌。它由内置电源、密码生成芯片和显示屏等组成，根据专门的计算法则，每隔60秒会自动更新一个动态口令，要求用户在60秒内输入，以保障网银操作安全。然而此轮网银诈骗，绝大部分案例都以“中行E令”为幌子，众多用户质疑号称动态安保的“中行E令”此时已形同虚设。

　　中行工作人员对此回应称，中行对个人网银账户的安全防范是获得国家有关部门认可安全可靠的。诈骗发生，主要是用户登录假网站，被骗取密码和动态口令所致，跟网银本身的设计没有什么关系。

　　可能并非如此。

　　先来看看中国银行网银的安全保障体系，目前多数银行采取多因素、多渠道的认证方式，安全级别设置也较高。但是中国银行网银在大规模的“钓鱼案件”发生时，只可选择动态口令这一项安全工具，安全防护措施相对简单，不久前才刚刚进行了改进，增加了短信认证这一环节，遭到了不少客户的质疑。

　　再来看看中行网银主推的安全工具动态口令。中国金融认证中心专家认为，动态口令虽然一次一变，但这种变化仍然存在一定的时间周期，通常动态口令在1分钟内都会有效。而就是这短短的一分钟，让不法分子有了可乘之机。上文述几位受害者也纷纷表示了对动态口令的不满：“一分钟时间足够操作熟练的人完成整个犯罪过程，动态口令这种安全工具本身就有问题。”

　　但是国内主流银行中唯一与中行同样使用动态口令的光大银行网银，却一直在用户中获得不错的美誉度，类似遭遇钓鱼网站攻击的事件也少有。

　　业内一位不愿具名的专家透露，问题不在动态口令，而在于中国银行动态口令的设计存在一个明显漏洞。

　　他表示，光大银行的动态口令生成器命名为阳光令牌，用户在登录时需要输入随机口令，转账时还需要再度输入事先设置的转账密码，两道防护线保护安全。而中国银行网银之前只需要输入口令就可以完成转账，一旦遭遇钓鱼网站拦截或口令牌遗失，客户账户安全就难以保障。