作者lianpig5566 (家庭教师杀手里包恩)
看板Bank_Service
标题[闲聊] 关於各家网银的安控机制
时间Wed Jul 17 16:30:19 2019
如题我包恩
这几天在试用MoneyBook的时候
有试着把我三家金融机构 (邮局、台银、中信) 的网银都绑进去 并同步很多次
除了Moneybook以外,还有电脑、手机直接登入网银,
加起来大概有3组IP左右,在相近的时间登入
结果刚刚台湾银行就打电话问我
昨天有没有频繁登入网银
因为他们报表有跳出来说 有不重复的IP登入
我是觉得还蛮贴心的 也会去侦测登入成功的纪录有没有问题
不知道其他家有没有这种服务
--
标题 [问卦] 有没有鼎泰丰根本算不上好吃的八卦
1F:→ tsunamimk2:比鼎泰丰难吃的的满街都是啊02/15 03:43
2F:→ tsunamimk2:鼎泰丰的东西一点都不普通 爱不爱吃就随个人了02/15 03:45
3F:推 overseaking:高雄-龙华市场-小笼包店 >>>>>>>>>>>>>>鼎泰丰02/15 03:45
4F:→ tsunamimk2:那家很难吃耶 龙华的.. 至少上次我去 嗯02/15 03:45
5F:→ overseaking:哇靠 龙华市场根本没有小笼包店好吗lol02/15 03:46
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 39.8.167.238 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Bank_Service/M.1563352221.A.E35.html
6F:推 gottsuan: 这种app不要用 都把你帐号密码拿去了 07/17 17:00
我也是怕怕的 所以就删掉了
7F:→ gottsuan: 要整合多银行资讯 等到OpenAPI第二类开放後再用 07/17 17:01
8F:→ gottsuan: 使用OpenAPI的话 不需要你提供帐密给app 07/17 17:01
9F:→ gottsuan: OpenAPI架构的身分验证是OP验证 也就是各银行自己验证 07/17 17:02
10F:→ gottsuan: app不代替验证使用者 就类似现在很多的facebook登入app 07/17 17:02
11F:→ gottsuan: 验证都是facebook自己验 app拿不到帐密 07/17 17:03
※ 编辑: lianpig5566 (39.8.167.238 台湾), 07/17/2019 17:16:59
12F:→ slchao: 现在很多网银交易会有另一组密码ex 台企银 合库,如果网 07/17 17:17
13F:→ slchao: 银帐密不会造成损失ex非约转 买保险 买基金,也不太在意 07/17 17:17
14F:→ slchao: 自己银行资讯被非银行人员看到,这类app有其他缺点吗? 07/17 17:17
15F:→ slchao: 我是只怕被更改联络号码 帐单地址 盗办信用卡 用自家银行 07/17 17:18
16F:→ slchao: 扣缴,其他?? 07/17 17:18
你喜欢把自己的帐户纪录给其他人看是你家的事
※ 编辑: lianpig5566 (39.8.167.238 台湾), 07/17/2019 17:20:36
17F:推 gottsuan: 偷盗你帐密先 之後再用社交工程手法偷你其他资讯啊 07/17 17:32
18F:→ gottsuan: 到时候银行电话照会 他都可以通过就能改你其他资料了 07/17 17:33
19F:→ gottsuan: 不怕的话 你乾脆现在就公开帐密给大家看罗 07/17 17:33
20F:推 leon1757tw: 除非OpenApi开放使用 不然完全不敢用这种App 07/17 17:39
21F:推 tiana8873: 看了上面推文 立马把MineyBook删掉+换网银密码== 07/17 17:55
22F:嘘 sp063439: 使用者自己也矛盾,怕人家看又给帐密 07/17 18:36
23F:→ orange21: 等API吧 07/17 19:21
24F:→ helpM: 其他银行也有报表,差别是有没有认真打给客人而已 07/17 19:48
25F:推 slchao: 我自己是完全不敢使用啦,之前在卡板看到很多人讨论,提出 07/17 20:11
26F:→ slchao: 来是想多了解相关的风险,也想知道愿意使用的人对於这些 07/17 20:11
27F:→ slchao: 风险的想法,也谢谢g大的提醒 07/17 20:11
28F:推 pr9558: 你用了没删哪天收到登入mail可能还会去报警哈哈哈 07/17 20:15
29F:推 Scor: 很多银行都有相关报表,差异在有些怕打去客户会骂 07/17 21:01
30F:→ bailan: 记得之前就这类东西,搞得网银登入变麻烦吧 07/17 21:58
是说 蛮好奇这种APP是怎麽过图形验证的
※ 编辑: lianpig5566 (39.8.167.238 台湾), 07/17/2019 22:00:52
31F:推 shaform: 希望 API 赶紧发展起来 07/17 22:10
32F:→ ChungLi5566: 有一种弱点叫CSRF 07/18 00:52
33F:推 andrew5106: 我不懂为什麽网银不要用2FA?是技术上有什麽困难吗 07/18 01:55
34F:推 shaform: 美国很多网银有 2FA 啊,不过 SMS 的 2FA 不太安全 07/18 02:30
35F:→ shaform: 用security key or one time pad 比较安全 07/18 02:30
36F:→ shaform: 上面也提到有网银虽然登入时没2FA,但执行一些操作时有2FA 07/18 02:55
37F:→ alex1973: 国泰世华某些网银操作就需要2FA,至於登入就需要2FA也 07/18 06:54
38F:→ alex1973: 有范例,汇丰就是了,但是很多人知道汇丰的下场…… 07/18 06:54
39F:→ shaform: 太难登入吗 XD 不过如果这样也可以改成选用服务阿... 07/18 07:55
40F:推 bitlife: 手机app比不上电脑的一点是电脑的网址列可以得知目前显示 07/18 11:52
41F:→ bitlife: 验证页面的网站是否真的是原网站而不是钓鱼网站,但手机目 07/18 11:53
42F:→ bitlife: 前因为萤幕尺寸因素,即使连浏览器预设都隐藏网址列,所以 07/18 11:54
43F:→ bitlife: 这类第三方(非银行出品)的app,仍要提防有钓鱼可能,显示与 07/18 11:54
44F:→ bitlife: 原银行一样的登入页面来骗取帐密 07/18 11:54
45F:→ bitlife: 如果银行端验证是采取金钥验证(如早期的台新,以及目前华 07/18 11:56
46F:→ bitlife: 银)或者用另一组专用於第3方验证的帐密并传简讯,会安全很 07/18 11:57
47F:→ bitlife: 多,但另一组帐密显然又增加不必要负担,所以金钥系统会比 07/18 11:58
48F:→ bitlife: 较安全. (刚才忘了提到邮局也是有金钥系统) 07/18 11:59
49F:推 k83nk7agkc: 假鬼假怪,麻布不是绝对安全但是也没有某些人想像的 07/18 13:42
50F:→ k83nk7agkc: 那麽夸张好不好,真的以为你的网银帐密就是用明码存在 07/18 13:42
51F:→ k83nk7agkc: db上那麽吗,担心这个不如担心你平常其它的使用习惯, 07/18 13:42
52F:→ k83nk7agkc: 未来银行释出API还是很多人会怕的要死啦 07/18 13:42
53F:→ bailan: 好奇一问,这些网站跟网银又没相关登入API合作,帐号密码 07/18 13:58
54F:→ bailan: 若是存加密编码过的,能够送出相关资料去登入吗? 07/18 13:59
55F:推 gottsuan: 没有银行密码用明码存在资料库的 违反电子资料处理法 07/18 14:04
56F:→ gottsuan: 储存的密码基本上都是hash+加密 07/18 14:04
57F:→ gottsuan: 网站若有实施E2EE密码加密 加密处理是在网页(浏览器)端 07/18 14:06
58F:→ gottsuan: 这些app拿到的是你的密码明码 登入时他帮你输入到银行网 07/18 14:06
59F:→ gottsuan: 页 经由网页加密後送出验证 07/18 14:06
60F:→ asdfghjklasd: 我还给了很多家银行帐密给麻布咧 07/18 14:07
61F:→ asdfghjklasd: 有帐只能看收入出支跟消费,又能怎样 07/18 14:07
62F:→ asdfghjklasd: 钱还是转不出去 07/18 14:08
63F:→ gottsuan: 会怕就快去银行变更密码 07/18 14:08
64F:→ asdfghjklasd: 是想知道我住什麽饭店买什麽东西吗 07/18 14:08
65F:→ gottsuan: 他有办法去变更安控机制不就可以转了 例如得到你个资打 07/18 14:09
66F:→ gottsuan: 去变更联络方式 然後用他的电话接收SMSOTP 不就可转帐了 07/18 14:09
67F:→ gottsuan: 偷到帐密只是第一步而已 07/18 14:09
68F:→ gottsuan: 你没有尽到保管责任 到时候出事 银行可以推责任给你 07/18 14:11
69F:→ asdfghjklasd: 我没开电话转帐 07/18 14:13
70F:→ asdfghjklasd: 是要怎转,要去柜台吗? 07/18 14:13
71F:推 gottsuan: 网银转帐用SMSOTP可以非约转 只是额度较低 07/18 14:15
72F:→ gottsuan: 另外如果你有多个业务往来 比如信用卡/基金/外汇之类的 07/18 14:16
73F:→ gottsuan: 也有风险 被偷到帐密就是第一道关卡被攻破了 07/18 14:17
74F:→ gottsuan: 风险意识薄弱... 07/18 14:17
75F:推 gottsuan: 偷到你的帐密也不见得他自己要骇你 也可以卖给骇客集团 07/18 14:23
76F:推 k83nk7agkc: 实务上现阶段是做不到透过第三方验证,MoneyBook的系 07/18 14:35
77F:→ k83nk7agkc: 统架构如何除了内部外没人会知道,但就我简单理解,大 07/18 14:35
78F:→ k83nk7agkc: 致是由App在本地以公钥加密资料後,透过TLS传输并储存 07/18 14:35
79F:→ k83nk7agkc: 在GCP的VPC上,首先传输上的疑虑就没了,再来是MoneyB 07/18 14:35
80F:→ k83nk7agkc: ook持有资料的问题,原则上持有Key或是访问权限的开发 07/18 14:35
81F:→ k83nk7agkc: 人员谁都可以拿走使用者的资料,然而团队内部不可能 07/18 14:36
82F:→ k83nk7agkc: 对此不设防,GCP上也有提供相关的功能给企业管理保密 07/18 14:36
83F:→ k83nk7agkc: 资料 07/18 14:36
84F:→ asdfghjklasd: 网银转帐用SMSOTP可以非约转? 07/18 14:45
85F:→ asdfghjklasd: 我的帐号全都只能用金融卡,是要转什麽帐? 07/18 14:45
86F:→ asdfghjklasd: 打电话就能更换手机号,这银行是管控有问题.不是用户 07/18 14:45
87F:→ bitlife: 不少行动网银app可以SMSOTP约转. 当你装了一个钓鱼app,根 07/18 15:10
88F:→ bitlife: 本不用换手机号,只要安装时被骗,授权了简讯权限,OTP都可 07/18 15:11
89F:→ bitlife: 以拦截转发给骇客,骇客就得到了SMSOTP 07/18 15:12
90F:推 slchao: 如果设定只有金融卡可以转帐,如果银行改电话需要本人现 07/18 16:25
91F:→ slchao: 场才能更改,风险就比较低 07/18 16:25
92F:→ slchao: 之前搬家,有些银行地址要现场亲自更改,有些接受电话更 07/18 16:27
93F:→ slchao: 改,也许风险控管也不同 07/18 16:27
94F:推 liontall2004: 因为客人会投诉说为什麽一定要现场改资料,然後出事 07/18 23:05
95F:→ liontall2004: 再推说为什麽可以不用现场改资料 07/18 23:05
96F:→ Kazamatsuri: Google Store上有人问资安问题 他们也有回答~ 07/18 23:12
97F:推 Kazamatsuri: 另外有Youtuber说暗网早就有骇客骇到很多帐密了... 07/18 23:17
99F:推 amygm307: 您们好,我是麻布记帐的麻编,真的很感谢大家对我们 07/20 14:31
100F:→ amygm307: 的指教,关於资安部分,因为台湾的法规尚未明朗化, 07/20 14:32
101F:→ amygm307: 所以我们参照各国资安标准做了相当多的努力,我们也知道 07/20 14:32
102F:→ amygm307: 无论做得多完善,在金管会第二阶段帐户资讯API尚未推出 07/20 14:32
103F:→ amygm307: 之前,一定还是会有很多人对於把帐密提交给我们感到疑虑 07/20 14:33
104F:→ amygm307: 所以除了完善资安之外,我们也花了近一年的时间, 07/20 14:33
105F:→ amygm307: 金管会监管。 07/20 14:34
106F:→ amygm307: 今年金管会其中一项重点政策在於Open Banking, 07/20 14:34
107F:→ amygm307: 金管会委托财金公司制定开放API以及银行与第三方业者 07/20 14:34
108F:→ amygm307: 串接API的规范,财金公司也在今年七月邀请我们加入 07/20 14:35
109F:→ amygm307: 开放API的测试以及相关规格的制定,相信很快就会进展到 07/20 14:35
110F:→ amygm307: 规划第二阶段帐务资讯API,我们会持续的更新与财金公司 07/20 14:35
111F:→ amygm307: 和银行合作的状况给各位,有兴趣但有疑虑的人也都可以在 07/20 14:36
112F:→ amygm307: 完成第二阶段API串接後再来使用Moneybook。 07/20 14:36
113F:→ amygm307: QQ金管会那段漏字了..近一年来,我们持续努力和主管机关 07/20 14:44
114F:→ amygm307: 沟通,希望像我们这样的业者能够被金管会监管。 07/20 14:45
115F:推 amygm307: 国外类似的服务发展的相当成熟,像是美国的Mint、 07/20 14:50
116F:→ amygm307: 日本的Moneyforward,麻布也向他们看齐,无论是在协助 07/20 14:51
117F:→ amygm307: 政策推动,以及完善用户许愿的功能,我们都会继续努力, 07/20 14:51
118F:→ amygm307: 协助推动台湾Open Banking的进展 07/20 14:51
119F:推 wang0920: 我从来不用非本行的app太危险了!而且出事银行可以不用 07/21 11:31
120F:→ wang0920: 处理的 07/21 11:31
121F:→ prussian: 麻编你要不要直接回一篇就好了..这样也比较好继续讨论 07/21 19:48