多年来，银行一直在敦促使用借记卡，但欺诈交易后的报销政策差异很大。在信用卡对帐单上进行欺诈交易是一回事，但在您的支票账户中缺少实际现金并且无法支付租金则是另一回事。我总是鼓励人们使用没有万事达卡/维萨标志的老式提款卡；至少这样有一个 PIN 保护你。

登录期间的“安全图片”保护您免受冒名顶替银行的概念已被彻底揭穿，并且是以前 FFIEC 标准的遗迹。

银行告诉客户，使用 SecurID 或 Vasco 等安全令牌可以防止基于恶意软件的攻击，但现实情况是，恶意软件只是在计算机上等待您输入 OTP，然后将其实时发送给等待的攻击者。那里没有保护。

最后，虽然登录安全很重要，但这还不够。大多数网上银行欺诈都可以追溯到恶意软件，最糟糕的东西只是坐在那里等待您登录，然后再发送未经请求的交易。登录可以像您想要的那样安全，但除非您保护交易本身，否则您仍然容易受到攻击。

最后一件事——银行仍在告诉用户他们的 SecurID 令牌是完全安全的。这很可能是不正确的。如果三月份的攻击者拿走了所有的种子，那么这些代币基本上一文不值。如果他们只带走了一部分种子，银行需要确定他们的种子是否被盗。我还没有听到任何银行能够以某种方式就这一点提出索赔，所以我假设在今年夏天之前制造的任何 SecurID 都是拥有的。这不适用于 Vasco 或其他任何人，仅适用于 RSA。

许多银行根本不了解这些点，至少在其安全团队之外是这样，因此客户服务代表给出的实际建议在这些点上往往是错误的。我认为这不一定是银行的错。您不能期望每个客户服务代表都是数据安全专家，但这确实意味着银行有责任提供一个足够安全的系统，让客户服务的错误建议无关紧要。

你可以看看默多克和安德森的那篇文章，主题是“由 VISA 验证”和“万事达卡安全代码”在线身份验证系统。文章指出了该系统中的几个问题，其中使用 iframe 训练用户在网页上输入个人详细信息，他们无法验证其出处。

只是，很简单，不正确的建议

西太平洋银行仍然坚持他们的说法，即用于输入您的（单写字母数字，正好 6 个字符）密码的 Java 或 Javascript 指向屏幕并单击键盘图片比允许使用真正的键盘更安全。似乎只有其他银行的客户才会出现肩膀冲浪；澳大利亚的视障客户不享受 ADA 的保护。

他们的主张是基于“键盘记录器无法看到您在屏幕上点击的内容”的谬论，尽管 4 年前有一次真实的网络钓鱼活动明确针对他们及其客户，使用的木马正是这样做的。

不过还是有一些希望的：12 年前NAB提出了同样的主张，但他们后来变得聪明了，现在使用浏览器内置的相同密码输入机制，每个理智的组织都在使用。

1. 当然，还有关于密码强度的建议。一个常见的事情是坚持使用带有奇怪符号的密码。当这种坚持是唯一有效传达的东西时（例如，如果关于长度的重要部分被遗漏了），客户最终会制作password1两个p@ssw0rd最常见的密码。或者，它以密码被写在键盘下的便签上的可笑事件告终，因为它无法记住。

2. 在大多数情况下，银行在确保新的信用卡/借记卡用户了解这个简单的建议方面非常糟糕：不要在公共 wifi热点上进行网上银行或使用您的信用卡号码。（对于普通客户来说，这个简单的规则可以大大提高他们的个人安全和意识。）

3. 需要告知客户，仅仅因为企业使用机器进行信用卡交易，它们并不一定是安全的。告诉他们警惕小企业——不是因为他们是恶意的，而是因为他们只是不从事支付安全业务。例如，一个不熟悉安全的小型在线零售商可以只使用 Paypal 或 Google Checkout 来处理他们的交易。