作者lcloud (噜先生)
看板Soft_Job
标题Re: [讨论] 是银行安全性有问题吗
时间Wed Feb 10 22:46:50 2021
我没有用richart,有点难想像richart转帐不需要OTP。
可否请问richart可以用OTP绑定特定手机,
之後在绑定的手机上进行非约转都不需要再用OTP验证一次?
如果真的是这样,这个情况有点有趣,这个机制不能说违反安控基准,但安全性相对较低吧。
如果"每一次"非约转都必须要做一次OTP验证,加上非约转的单笔/每日限额,
要骗到几十万,对END USER来说,是满夸张的 (一直操作OTP都不会觉得奇怪?)
但若只要骗到一次OTP进行装置绑定,门槛就降低很多,毕竟网站做的跟真的一样,
一般民众根本不会去看domain name,也看不懂domain name的差异。
好多年前银行公会有要求各银行要去"管理"有没有冒名自己的钓鱼网站,
站在银行的角度,我是觉得很扯,到底要怎样才能去主动发现钓鱼网站。
可是如果是银行自己把安全机制设计的比较差,难道完全没有责任,都是民众的责任吗?
符合安控基准应该只是电子银行的最低标准,而非最高标准吧
※ 引述《ripple0129 (perry tsai)》之铭言:
: 整个流程是这样
: 受害者到钓鱼网站输入帐密
: 钓鱼网站马上到真实银行输入帐密
: 这时候就会发OTP简讯到受害者手机
: 受害者在钓鱼网站输入OTP
: 钓鱼网站等同也拿到OTP能登入了
: 整个最大的问题是
: 为什麽每一笔转帐没有OTP
: 这是Richard的问题了
: 基本上我使用的银行
: 每次转帐都是需要再输入OTP的
: 不过要Richard赔有点难
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.169.91.57 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1612968412.A.107.html
1F:→ petercoin: 兆丰也没OTP... 02/10 23:04
2F:→ ssccg: 符合安控其实是很高的标准了,只是一般民众的一点小钱只算 02/11 01:42
3F:→ ssccg: 低风险,宁可方便就好 02/11 01:43
4F:推 now99: User责任在单笔转帐五万,毕竟帐号密码一次OTP都给出去了, 02/11 02:56
5F:→ now99: 但是暴冲到四十万这三十五万差距是验证机制设计瑕疵,台新 02/11 02:56
6F:→ now99: 要付很大的责任,现在上新闻这五万是不是也凹台新吞了xd 02/11 02:56
7F:推 now99: 而且还攻破转帐限额单月二十万,只因为限额by 帐户不是by U 02/11 02:59
8F:→ now99: serId xddd 02/11 02:59
9F:推 now99: 还好不是再跨月攻击,不然可以爆冲到八十万 02/11 03:01
10F:推 brianhsu: 其实满多没 OTP 的,合库也没 OTP... 02/11 08:06
11F:推 shingatter: 手机绑定加生物辨识就不用otp啦 02/11 10:15
12F:推 now99: 生物辨识间接验证无法绑定手机,要过一次电信通路 02/11 13:26
13F:→ now99: 目前好的解法就是走 mobile id 或 aotp 02/11 13:26
14F:→ now99: 走 PKI 或 FIDO 也是一样问题 02/11 13:27
15F:推 sunpc: FIDO UAF还是fishable, 要FIDO U2F或FIDO2才是射进来阻止 02/12 20:32
16F:→ sunpc: 钓鱼网站攻击 02/12 20:32
17F:→ sunpc: ...设计来....orz 02/12 20:32