作者kuoyu (^_^)
看板Bank_Service
标题中国信托手机OTP + 交易确认码
时间Wed May 14 11:56:43 2008
※ 引述《mrparanoiac (富士山下的熊)》之铭言:
: ※ 引述《kuoyu (^_^)》之铭言:
: : 中国信托的手机简讯也有一个盲点
: : 印象中有一个案例 有一个人出国
: : 结果手机被人家挂失 sim卡补发
: : 当事人只知道手机不能打 在国外不方便处理
: : 回国後才发现大事不妙 现在不知道破案了没有
: : 歹徒应该是熟人 因为对当事人的资料很清楚
: : 之道出国回国的时间 还有办法取得相关证件
: : 轻易地让电信公司把原来的sim卡挂失
: : 毕竟电信公司对身份的审核不是那麽严格
: : 补发之後插到自备的手机 就可以收到密码了
: 所以现在升级为"手机OTP + 交易确认码" 双安全机制啦
: 凭中国信托晶片金融卡去分行ATM或7-11 ATM申请交易确认表
: 申请後简讯中除了原本的动态密码外还增加了需查表才知道的数值
: http://0rz.tw/e545t
老实说我对这一个做法还是存在一点疑虑
加了一张密码表(交易确认码)的确有助於安全性的提昇
但是能够提昇多少我持保留态度
透过验证[使用者有 其他人没有的东西]是系统安全的基本方式
像是密码 钥匙 暗号 指纹 掌纹 眼角膜等等
前三者是有办法复制的 後三者难以复制
中国信托用到的有帐号密码 晶片卡 手机sim卡与交易确认码
现在网路木马横行 帐号密码很容易外泄
无法保证只有本人持有 手机sim卡对应的门号是唯一的
所以发送简讯理论上只有一张sim卡所在的手机会收到
但是电信公司对身分认证不够严格 所以有上面的案例出现
电信公司的错误银行不赔 也难以向电信公司求偿
晶片卡与sim卡一样 同时间只有一张是有效的 目前也难以复制
不过晶片卡是由银行端掌控的 身分确认较为严格
如果错误在银行 银行要负责任
但是问题是这张表是列印在一张纸上的
纸上记载的资讯谁都会复制
而且验证当时并不需要晶片卡作用
这一点就让我觉得安全性下降了
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 61.62.155.53
1F:推 beagle:有一种 OTP 型态就是这样一张纸上面印一大堆数字... 05/14 12:05
2F:→ beagle:可是我不知道中信是不是, 不敢随便说... 05/14 12:05
3F:推 ultradev:安全跟便利本来就是难以两全,OTP让你用随身携带的手机就 05/14 12:32
4F:→ ultradev:可完成非约定转帐,而不用再用读卡机及晶片卡,是蛮方便 05/14 12:33
5F:→ ultradev:的。而OTP破功的机会当然也是有,不过实在机率不大。 05/14 12:34
6F:→ ultradev:如果要追求绝对安全,应该连网路银行都不要申请才是。 05/14 12:35
7F:→ kuoyu:正确的来说应该是连金融卡也不要申请 05/14 13:17
8F:→ kuoyu:金融卡信用卡遗失了会去挂失 但是案主手机没遗失 05/14 13:19
9F:→ kuoyu:没有想到会被挂失 这是手机OTP的风险 05/14 13:20
10F:→ rich655254:最正确是钱都不要赚吧,这种因噎废食的事,不就是这样 05/14 16:09
11F:→ rich655254:只要你有赚钱,就有被别人偷抢拐骗的机会,所以就不要 05/14 16:10
12F:→ rich655254:赚钱阿,都已经三四层帐号密码了,风险没有那麽高吧 05/14 16:10
13F:→ nicme:如果对安全性有疑虑,应该把钱带在身上不就好了! 05/14 22:28
14F:→ rich655254:钱带在身上会被抢走,口袋破了会掉出来,不安全喔! 05/14 23:48
15F:推 gottsuan:说得没错啊 不可能有绝对安全 银行的系统尽量作到的都是 05/15 11:11
16F:→ gottsuan:相对安全 只要让骇客破解的成本大於可以获取到的利益就行 05/15 11:11
17F:→ gottsuan:了 这样骇客就没有兴趣去破解 05/15 11:12