越来越不喜欢招行专业版,过分注重形式安全了
招商银行以前一直是我最喜欢的中国的银行。因为他们网上银行一直做的非常好,而且也是中国第一家提供网上银行和电话银行服务的。可最近招行逐渐在网上银行的“安全”方面加大了力度,而且是“形式的”安全。
先说他的财富账户专业版,取消了以前的文件证书登录。这倒是无可厚非,毕竟财富账户只支持移动证书登录。
接 下来,专业版退出的时候,必须把Key拔掉,否则无法退出。说他是安全吧,总觉得很怪异。虽然表面上看上去帮助用户增加安全了,但是考虑一个特殊情况:我 这样的用户很熟悉电脑操作,一般不怎么看提示。那么在我点“退出”之后,按个Yes,然后就闪人了。这是安全了,还是不安全了?(Key还在机器上,专业 版并没有真正退出)。
也许有点儿强词夺理。但我觉得,虽然招行这种操作是为了用户着想。是不是改个方法更好呢?先把专业版退出来,然后弹 出个提示,说用户还没有拔出Key,为了更安全,应该把Key拔掉。这样是不是更好些呢?因为目前的设计,不拔Key就不能退出,实际上是降低了用户安全 度的(因为你退出的操作都没做,拔不拔Key如何是增加安全呢?好歹你得先退出吧?)
再说安全,密码是账户的保证。可招行证书的密码却只能使用6到16的字母和数字,为什么不能用符号呢?这个可以非常简单却极大程度的增加安全度。
最近又听说招行专业版的几个措施:
- 必须设置Windows密码,否则以后将不能登陆专业版;
- 必须关闭Remote Desktop,否则专业版将强制关闭
不太清楚招行现在是什么角色。但可以明白招行的用意:Windows密码是为了防止别人访问机器从而安装什么不好的软件;Remote Desktop也是如此。
但是,能否访问自己的机器,不应该是招行说了算的。这样的限制未免太过于形式化了。招行毕竟做的是网银,毕竟是软件。
我 们夸张的想象一样,按照招行目前的思路,以后还是自己开发一套操作系统,该系统仅能运行专业版软件,这样不仅不能安全其他软件,还能限制他人访问。要不, 干脆做个硬件机器,像电话或者POS机似的,岂不是更安全?再来,单独开辟一条网络线路,还能限制数据不被其他人截获。
可能上面说的偏激 了。我不是反对安全,但安全本身就是相对的,你不能因为安全就限制用户的功能,限制用户按照他的习惯使用计算机。另外,招行在业务、软件上的差的还不是一 星半点(最起码专业版的Crash还是经常能够出现的,很多业务做的还是不够),与其这样形式地增加安全,不如多提高一下产品质量、功能和业务。
Update 2007/1/4:最新发现,软件主页面上有“退出”和“重登录”两个选项。点“退出”要拔出Key,Okay,我认了。问题在于,我要重登录,居然也要我拔出Key?!什么逻辑?
