谢谢 @麦麦 的邀请,我尝试回答。
这个问题,还真跟技术没有关系,说白了,就是美国的银行没有使用U盾(数字证书)的动力!
先说美国。
第一个原因:美国的市场环境成熟、法律环境齐备、信用体系健全。针对银行的攻击、针对客户的欺诈,违法成本要远远大于违法收益。对美国人民而言,若有上述违法犯罪行为,先报警,再找保险公司赔,就搞定了,除了高大上的“高端黑客”,一逮一个准,逮住了生活不能自理一辈子啊,银行也就懒得投入不菲成本搞数字证书了。
第二个原因:
美国信用卡的广泛使用。不同于国内,即使是在美国的电子银行(网上银行),客户也更倾向于使用信用卡进行网上支付,想想吧,没有网上银行的时候,美国人民使用信用卡也仅仅是 卡号+效期,更何况以便捷为目的的网上银行?
再说中国。
第一个原因:中国人民非常有智慧。我可以拍着胸脯说,当前国内涉及电子渠道的案件,90%以上都是诈骗啊,诈骗的花样五花八门,没有做不到,只有想不到!什么假冒公检法,中奖缴税,商品打折,信用卡代办,子女绑架,等等,等等。更关键的是,貌似,一大部分诈骗,还都骗到钱了。更更关键是的,貌似,一大部分成功的诈骗,我们还不一定逮到人!这就是问题!普罗大众的安全意识,整个社会的法律环境、信用体系,执法体系,都有太多需要改进优化的空间!当前,针对诈骗的汪洋大海,接触性的安全认证工具,数字证书,是不二选择啊!
第二个原因:社会主流对数字证书的认可以及监管支持。数字签名和PKI体系,一进入中国,就受到广泛关注,尤其是政府以及相关安全部门,利益相关也好,战略部署也好,数字证书也就热了起来,有人使用,有人研究,有人生产,然后就商用了,然后监管也就支持了。《电子签名法》就是一个明证。我们看看人行的文件,《网上银行系统信息安全通用规范》,里面明确规定了对公网银的转账至少采用数字证书,还得是硬件;而对私网银的转账要求稍微宽一些,双因素认证,但该文件发布于2012年,在此之前,数字证书已是银行业内最佳实践了,为什么?因为数字证书有法可依,银行既最大限度合规又最大限度规避风险。
现状和趋势:这一差异,也在逐渐缩小。
国内:现在大家脑子也都活了,监管虽然是红线,但偶尔也可擦擦边。当前各家行对私转账,一般都按双因素认证,一个客户知晓的,一个客户持有的,但在小额支付、公共事业缴费、投资理财等领域,都开始使用手机验证码或者静态密码,甚至免密了(这里面有第三方支付的功劳,点赞)。监管总是落后于创新嘛!说实话,我们的银行监管有时候还挺好说话,难道是十八大的调子,不得而知。
国外:因为案件的高发,个人隐私的频繁泄露,也不淡定了。针对转账,新加坡要求银行必须使用带挑战应答的动态口令牌,韩国要求必须使用CA证书,而美国,也开始要求“带外认证”。前一段时间,某行纽约分行接受OCC的现场检查,还专门就带外认证跟当地监管沟通过,OCC很直白的说,转账交易必须在交易渠道之外的渠道进行交易确认(或通知),详见美国2005年的《网银服务的授权认证机制》,一般是手机或电子邮件。
在电子银行的世界,世界逐渐大同;在移动金融的世界,世界早晚大同。
请相信,这真的是一次革命。
太仓促了,上文内容我连度娘都没问,直接手打啊,错误之处见谅。这一块,有几个细分领域,我还是知晓的,有时间写两篇专栏吧。晚安!
— 完 —
本文作者:飞熊道人
【知乎日报】
你都看到这啦,快来点我嘛 Σ(▼□▼メ)
此问题还有 14 个回答,查看全部。
延伸阅读:
为何国内银行网银当初都选择开发 U 盾而不是电子密码器?
如何安全地从银行大额取款?