网银系统可分为银行服务器、网络、客户端三部分。近年来网银安全事故时常发生，而中国各大银行也不断对自身系统进行升级，服务器端的 安全性已经极高，因而大盗们更多地将目标集中在数量众多但信息安全意识良莠不齐的用户（客户端）这里。而用户的身份认证这个需要用户操作的地方，就成了网银这颗“鸡蛋”上的缝，受到众大盗们的“青睐”。

　　动态口令也有缺陷

　　自从采用动态口令技术后，人们不用再费力记密码，也不需要担心木马攻击了。但是，动态口令能像我们希望的那样，为网银的安全提供保障吗？

　　实际上，随着动态口令的普及，它的缺陷也越来越突出地暴露在大家面前。例如“刮刮卡”，因为它的口令数量固定，除去需定期更换的不便外，更重要的是它的安全隐患：如果长时间收集信息，就有可能收集齐所有动态口令，完全破解这种刮刮卡形式的动态口令，甚至复制或窃取那张小纸片，也可以冒用用户的身份信息。

　　从网银交易过程来看，动态口令仅对用户身份进行认证，而没有对交易过程进行验证。待用户身份确定之后，“中间人”便拦截用户的转账操作，篡改数据后发送给服务器，而服务器没有办法区分给它发出转账指令的是用户还是木马，直接执行了转账，“中间人”再把服务器返回的信息篡改后显示给用户。这样，“中间人”就轻而易举地绕过动态口令，获取了用户的个人认证信息，完全控制了这次交易。而动态口令也就成为一个“形同虚设”的“保镖”，无法真正保护用户账户的安全。而实际发生的一系列案例，也证明了动态口令无法锁牢用户的账户。

　　真正的“防盗门”

　　中国金融认证中心总经理李晓峰先生认为：完成一个安全交易，在应用层面上必须保证交易双方不仅要有身份认证，要有保密、完整、未被篡改的数据，还需要保证这个交易是不可抵赖的，一旦与银行出现交易纠纷，这些都是必需的法律依据。因此，网银必须具备真正可靠的法律上认可的电子签名和证书，这才是问题的最终解决办法。

　　同样是使用双重身份认证技术，带有智能卡芯片的USBKey数字证书因采用了公钥体系（PKI），支持电子签名，它的安全性更高。由于USBKEY是单独的硬件设备，而新一代的USBKey还添加了交易认证技术，使得网络钓鱼攻击者也无法伪造用户签名，冒充用户登录服务器，也无法篡改用户的交易数据，从而抵抗类似“交易伪造”或“交易劫持”等针对交易而不是针对身份的攻击。