作者cool810 (silence)
看板Bank_Service
标题[请益] 手机转帐最安全机制是否简讯OTP验证
时间Fri Nov 21 19:54:32 2025
请教大家....
目前大部分手机银行app
都可装置绑定後(现在大都用sim卡电信门号认证绑定设备),
以生物辨识或图型解锁,做转帐动作
近期改版的元大行动app....也把简讯OTP转帐改成MOTP推播验证
为何还有少数几家坚持转帐要用简讯OTP验证呢?
是这样的安控机制最安全吗?
--
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Bank_Service/M.1763726074.A.B9D.html
※ 编辑: cool810 (60.244.164.9 台湾), 11/21/2025 19:56:43
1F:→ peter98: 不是 OTP是很危险的东西,所以银行才要客户用。。。 11/21 19:59
2F:→ cool810: 剩没几家行动银行非约转还要多一道简讯OTP验证,感觉比较 11/21 20:05
3F:→ cool810: 麻烦,多一道麻烦是否就多一道安全,但在国外就不方便 11/21 20:06
4F:→ ShinHsin: 银行应该开发authenticator这种动态生金钥的APP再绑装置 11/21 20:08
5F:→ ShinHsin: 作认证比较好 11/21 20:08
※ 编辑: cool810 (60.244.164.9 台湾), 11/21/2025 20:11:21
6F:→ bill0205: 安不安全我是不知道 但是成本来说 APP推播OTP比简讯便宜 11/21 20:23
7F:→ bill0205: 倒是真的 11/21 20:23
8F:推 Kazamatsuri: 应该是目前银行最简单便宜的方式,不是最安全的方式 11/21 20:32
9F:推 mx5021: 会把密码交出去的人怎麽做都一样 11/21 20:57
10F:→ mx5021: 很少确认是真的骇客入侵的 都是受害者自行交出 11/21 20:58
11F:推 alloc: 没看过有中间盗取OTP的案例 大多是自己交出或是被钓鱼给出 11/21 21:11
12F:→ eXcFerGodSt: 目前最安全的应该是国泰的 Passkey 跟行动自然人同一 11/21 21:17
13F:→ eXcFerGodSt: 等级 11/21 21:17
14F:推 aljust12: 不是 至少要10重认证 密码>OTP>PIN>信箱>图形>指纹>脸部 11/21 21:41
15F:→ aljust12: 瞳孔>声纹>实体身分证影像扫描 这样够安全但没银行会做 11/21 21:42
16F:推 tonyian: 不想动自家资讯系统,可能已经超负荷或是内部结构很糟糕 11/21 21:45
17F:→ tonyian: ,多加东西都要考虑很多东西 11/21 21:45
18F:→ temu2015: 富邦刷卡OTP也可以改成Passkey了 11/21 21:51
19F:→ imrt: 他只是希望你装他的APP让他好渗透到你的手机有一席之地 11/21 21:54
20F:→ temu2015: Passkey要网域对才能触发、不可复制不可汇出,而且没有 11/21 21:55
21F:→ temu2015: 东西可以「给出去」,唯一的问题就是自己乱核准交易。 11/21 21:55
22F:→ temu2015: 我觉得应该要手动输入交易币别跟金额才可以核准,不然一 11/21 21:55
23F:→ temu2015: 路按确定按指纹的人也很多。 11/21 21:57
24F:推 bill0205: 目前最安全还是推MFA啦 但金融单位应该不信目前MFA的单 11/21 23:06
25F:→ bill0205: 位就是了 11/21 23:06
26F:推 yixianl: 你被钓鱼就是最危险的 11/22 08:12
27F:→ tomsawyer: passkey一点用没有 用app购物 如果自己内嵌一个webvie 11/22 08:41
28F:→ tomsawyer: w就触发不了了(虾皮) 11/22 08:41
手机非约定转帐的时候,
1.用户端手机认证绑定装置输入密码(或生物辨识)
2.银行端发送简讯OTP验证才让你转帐
加上第2.步骤是双保险最严格吧。
现在多数银行已舍弃2.,只要第1.步骤,用户单方面手机认证就能转帐,最方便
坚持加上2.多一道银行把关手续才能转,除了增加成本(增加麻烦?),也是基於安全考量?
星展的最麻烦,只是登入app看帐号,还要发送OTP验证。
※ 编辑: cool810 (60.244.164.9 台湾), 11/22/2025 09:27:39
29F:嘘 edison901: OTP哪里危险?明明就是银行想省简讯费 11/22 12:00
30F:→ pippen2002: 不觉得危险! 不然你要用啥验证?? 11/22 15:03
31F:推 svcc: OTP就是废物 11/22 15:42
32F:→ bill0205: 讲最难听的 任何机制都很危险 世界上没有绝对安全的验 11/22 16:28
33F:→ bill0205: 证机制 只有信不信任与使用者智商问题 11/22 16:28
34F:→ cool810: 只是觉得像永丰app都用sim卡电信门号认证绑定手机了,也 11/22 19:13
35F:→ cool810: 有生物辨识验证,转帐还要简讯OTP好像多此一举? 11/22 19:14
36F:→ cool810: 永丰好像约转才不用OTP...有点忘了 11/22 19:20
37F:→ cool810: 非约转简讯OTP是过去一向惯用的安控机制,现在有新技术 11/22 19:32
38F:→ cool810: 传统方式不一定就比较不安全,好比打诈有的回到临柜处理 11/22 19:33
39F:→ temu2015: SMS OTP请参考台哥大贴牌机事件 11/22 19:53
40F:推 BabyWolf: 你後来的说明跟标题不符啊 你是在说1+2比1安全 这无法支 11/22 19:55
41F:→ BabyWolf: 持"2是最安全的" 而其他人跟你举例的元大 不就有1+3了吗 11/22 19:56
42F:→ cool810: 我标题写得不好,一开始想的没那麽完整,应该改成手机转 11/22 20:14
43F:→ cool810: 障加上简讯OTP验证是否最安全 比较贴切 11/22 20:15
44F:→ cool810: 或者问 为何有些银行转帐仍要透过简讯OTP(大都不需要了) 11/22 20:17
45F:推 BabyWolf: 就如你说的好像那几家也是非约转才要 而另一个问题就是 11/22 20:27
46F:→ BabyWolf: 除了那几家 也有其他是如推文所说在app内推播的otp(可以 11/22 20:28
47F:→ BabyWolf: 自动带入) 也就是1+3 如果1+3其实比1+2安全 只是那些银 11/22 20:29
48F:→ BabyWolf: 行做不到 那就1+2也仍然非"最安全"的方式 11/22 20:30
49F:→ cool810: 元大新版行动银行改成app推播otp了,这是我原发文就提了 11/22 20:35
50F:→ cool810: 看来有些银行还维持传统简讯otp可能没投入技术或另有考量 11/22 20:35
51F:推 BabyWolf: 另一个问题是"2(简讯otp)很危险"这多半是在讨论刷卡时银 11/22 20:39
52F:→ BabyWolf: 行免责的问题 那麽在转帐这件事上成不成立呢 这就比较少 11/22 20:40
53F:→ BabyWolf: 看到案例跟讨论 好像也可分成单纯的2 或1+2 如果有简讯 11/22 20:41
54F:→ BabyWolf: otp的盗用转帐(?)(其实我也不知怎麽弄) 银行也不认吗 11/22 20:42
55F:推 skasia886: 嫌SMS OTP不安全说改用GA的人应该是没看过GA被侧录然後 11/22 22:25
56F:→ skasia886: 加密货币被盗走 而且要用GA还要输入金钥才会产出OTP码 11/22 22:25
57F:→ skasia886: 金钥被盗整个GG 一般人会妥善保管金钥?我是不太相信 11/22 22:25
58F:推 Kazamatsuri: OTP安全性隔壁板讨论过多次了 虽然多数是被钓鱼给出 11/22 22:40
59F:→ Kazamatsuri: 去的 但就还是有没给还是被盗的例子 连新加坡都要求 11/22 22:40
60F:→ Kazamatsuri: 不要再推刷卡OTP简讯了 至於转帐就再讨论了 11/22 22:41
61F:推 alloc: 目前看OTP被盗好像都是终端(木马程式拿到简讯权限或EMAIL被 11/22 22:46
62F:→ alloc: 盗用取得OTP) 要拦截简讯OTP难度满高的 比较多还是使用者问 11/22 22:46
63F:→ alloc: 题 11/22 22:47
64F:推 cityport: Verizon的CEO在2019年就说过简讯OTP非常不安全 11/23 04:21
65F:→ cityport: 你有比Verizon懂吗! 11/23 04:22
66F:→ cityport: Verizon一年花多少钱在资安,结果一堆半吊子在吹简讯OTP 11/23 04:24
67F:→ bnn: 现在连基地台都可以开面包车去劫你信号了 别再相信OTP难拦截 11/23 08:29
68F:嘘 lianpig5566: 基地台劫讯号跟OTP被拦截是两件事吧 11/23 22:45
69F:推 tsubasawolfy: OTP拦截是3/4G的基地台漏洞 11/24 09:35
70F:→ cityport: OTP拦截至少有从基地台截取明码跟复制sim卡2种方式 11/24 13:12
71F:→ cityport: 更别提台湾绝大多数人都还在用4G 11/24 13:12
72F:→ cityport: 现在连Apple Pay都能被复制token盗刷了,简讯是小菜一碟 11/24 13:14
73F:→ cityport: 被盗刷的苦主找美花一层层追溯才找出AP被盗刷的原因 11/24 13:16
74F:→ cityport: 话说在台湾,三大配好像仍然是不可否认的交易齁 11/24 13:18
75F:→ Kazamatsuri: 连感应Pay都能被盗?那目前真的没什麽一定安全的了 11/24 13:30
76F:→ cityport: SP不知道,但GP漏洞好几个,AP目前至少一个漏洞 11/25 02:37
77F:→ cityport: 漏洞基本不在手机端,而是发卡行没有/无法验证真实商家 11/25 03:12
78F:→ realbout: 现在安卓两大PAY 要绑信用卡只能打电话 打电话还不定绑 11/25 16:53
79F:→ realbout: 得起来...... 11/25 16:53
80F:推 BabyWolf: 不会给规则怕被钻漏洞 不过实测GP好像会认手机 我之前A 11/25 19:45
81F:→ BabyWolf: B两支手机都绑过约20张 轮流摔坏换备用时 照两只即使清 11/25 19:46
82F:→ BabyWolf: 空还是每一张都被要求打电话 後来换支全新的C 目前绑10 11/25 19:47
83F:→ BabyWolf: 张以内都还可以用简讯搞定 11/25 19:47