在用户身份假充报复打击中，报复打击者与受害者有两种简单的关系：熟知和不知。熟知关系的报复打击者可以等闲的盗取受害者的登录凭证(如：卡号、暗码、USBKEY等)，从而假充受害者身份进行网上银行把持;不知关系的报复打击者要进行报复打击需要必然的报复打击场景，如：处于统一个局域网环境，包含办公局域网、公共WIFI收集等，报复打击者操纵ARP或代办署理反对等手艺报复打击获得用户登录凭证，假充受害者身份进行网上银行把持。

　　今朝银行针对身份假充报复打击的防护，从登录过程和登录反馈两个方面进行防护。其一是采取HTTPS和谈操纵数字证书进行身份验证，对“中间人报复打击”进行提示并连络安然控件手艺对敏感数据进行加密，即便陷进中间人报复打击，也没法破译登录凭证;其二是操纵登录成功短信提示和显示前次登录信息(包含：登录时候、登录IP地址、登录掉败次数等)编制及时提示用户可能存在的假充登录。

　　经由过程我们的调研与阐发觉得：采取HTTPS连络USBKEY数字证书手艺，严格遵循SSL过程进行双向身份鉴别的防护结果较好，根基杜尽中间人报复打击。此类防护中USBKEY鲁棒性是防御的重中之重。短信提示和前次登录信息的功能起到缩短发现时候，及时采纳应对办法的感化。但还需要银行方面加大年夜安然办法的鼓吹力度，网上银行用户进步安然防备意识，同时默许启用或开通相干的安然功能。

　　今朝网上银行凡是会供给两种版本的登录——大年夜众版和专业版。大年夜众版采取HTTPS通信连络安然控件编制，没法避免中间人报复打击，但经由过程安然控件可呵护登录凭证，控件的加密强度和抗逆向阐发能力成为攻防核心;专业版采取HTTPS通信、安然控件和USBKEY编制。但大年夜大都USBKEY在登录环节并未利用，使得登录防护结果与大年夜众版不异。别的，登录提示和提示信息量还有待丰硕，以便网上银行用户能更清晰地进行危险鉴定。

　　安然控件成为攻防核心，USBKEY充分操纵成为趋势，用户安然意识晋升仍需继续。