作者lianpig5566 (家庭教師殺手里包恩)
看板Bank_Service
標題[閒聊] 關於各家網銀的安控機制
時間Wed Jul 17 16:30:19 2019
如題我包恩
這幾天在試用MoneyBook的時候
有試著把我三家金融機構 (郵局、台銀、中信) 的網銀都綁進去 並同步很多次
除了Moneybook以外,還有電腦、手機直接登入網銀,
加起來大概有3組IP左右,在相近的時間登入
結果剛剛台灣銀行就打電話問我
昨天有沒有頻繁登入網銀
因為他們報表有跳出來說 有不重複的IP登入
我是覺得還蠻貼心的 也會去偵測登入成功的紀錄有沒有問題
不知道其他家有沒有這種服務
--
標題 [問卦] 有沒有鼎泰豐根本算不上好吃的八卦
1F:→ tsunamimk2:比鼎泰豐難吃的的滿街都是啊02/15 03:43
2F:→ tsunamimk2:鼎泰豐的東西一點都不普通 愛不愛吃就隨個人了02/15 03:45
3F:推 overseaking:高雄-龍華市場-小籠包店 >>>>>>>>>>>>>>鼎泰豐02/15 03:45
4F:→ tsunamimk2:那家很難吃耶 龍華的.. 至少上次我去 嗯02/15 03:45
5F:→ overseaking:哇靠 龍華市場根本沒有小籠包店好嗎lol02/15 03:46
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 39.8.167.238 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Bank_Service/M.1563352221.A.E35.html
6F:推 gottsuan: 這種app不要用 都把你帳號密碼拿去了 07/17 17:00
我也是怕怕的 所以就刪掉了
7F:→ gottsuan: 要整合多銀行資訊 等到OpenAPI第二類開放後再用 07/17 17:01
8F:→ gottsuan: 使用OpenAPI的話 不需要你提供帳密給app 07/17 17:01
9F:→ gottsuan: OpenAPI架構的身分驗證是OP驗證 也就是各銀行自己驗證 07/17 17:02
10F:→ gottsuan: app不代替驗證使用者 就類似現在很多的facebook登入app 07/17 17:02
11F:→ gottsuan: 驗證都是facebook自己驗 app拿不到帳密 07/17 17:03
※ 編輯: lianpig5566 (39.8.167.238 臺灣), 07/17/2019 17:16:59
12F:→ slchao: 現在很多網銀交易會有另一組密碼ex 台企銀 合庫,如果網 07/17 17:17
13F:→ slchao: 銀帳密不會造成損失ex非約轉 買保險 買基金,也不太在意 07/17 17:17
14F:→ slchao: 自己銀行資訊被非銀行人員看到,這類app有其他缺點嗎? 07/17 17:17
15F:→ slchao: 我是只怕被更改聯絡號碼 帳單地址 盜辦信用卡 用自家銀行 07/17 17:18
16F:→ slchao: 扣繳,其他?? 07/17 17:18
你喜歡把自己的帳戶紀錄給其他人看是你家的事
※ 編輯: lianpig5566 (39.8.167.238 臺灣), 07/17/2019 17:20:36
17F:推 gottsuan: 偷盜你帳密先 之後再用社交工程手法偷你其他資訊啊 07/17 17:32
18F:→ gottsuan: 到時候銀行電話照會 他都可以通過就能改你其他資料了 07/17 17:33
19F:→ gottsuan: 不怕的話 你乾脆現在就公開帳密給大家看囉 07/17 17:33
20F:推 leon1757tw: 除非OpenApi開放使用 不然完全不敢用這種App 07/17 17:39
21F:推 tiana8873: 看了上面推文 立馬把MineyBook刪掉+換網銀密碼== 07/17 17:55
22F:噓 sp063439: 使用者自己也矛盾,怕人家看又給帳密 07/17 18:36
23F:→ orange21: 等API吧 07/17 19:21
24F:→ helpM: 其他銀行也有報表,差別是有沒有認真打給客人而已 07/17 19:48
25F:推 slchao: 我自己是完全不敢使用啦,之前在卡板看到很多人討論,提出 07/17 20:11
26F:→ slchao: 來是想多了解相關的風險,也想知道願意使用的人對於這些 07/17 20:11
27F:→ slchao: 風險的想法,也謝謝g大的提醒 07/17 20:11
28F:推 pr9558: 你用了沒刪哪天收到登入mail可能還會去報警哈哈哈 07/17 20:15
29F:推 Scor: 很多銀行都有相關報表,差異在有些怕打去客戶會罵 07/17 21:01
30F:→ bailan: 記得之前就這類東西,搞得網銀登入變麻煩吧 07/17 21:58
是說 蠻好奇這種APP是怎麼過圖形驗證的
※ 編輯: lianpig5566 (39.8.167.238 臺灣), 07/17/2019 22:00:52
31F:推 shaform: 希望 API 趕緊發展起來 07/17 22:10
32F:→ ChungLi5566: 有一種弱點叫CSRF 07/18 00:52
33F:推 andrew5106: 我不懂為什麼網銀不要用2FA?是技術上有什麼困難嗎 07/18 01:55
34F:推 shaform: 美國很多網銀有 2FA 啊,不過 SMS 的 2FA 不太安全 07/18 02:30
35F:→ shaform: 用security key or one time pad 比較安全 07/18 02:30
36F:→ shaform: 上面也提到有網銀雖然登入時沒2FA,但執行一些操作時有2FA 07/18 02:55
37F:→ alex1973: 國泰世華某些網銀操作就需要2FA,至於登入就需要2FA也 07/18 06:54
38F:→ alex1973: 有範例,匯豐就是了,但是很多人知道匯豐的下場…… 07/18 06:54
39F:→ shaform: 太難登入嗎 XD 不過如果這樣也可以改成選用服務阿... 07/18 07:55
40F:推 bitlife: 手機app比不上電腦的一點是電腦的網址列可以得知目前顯示 07/18 11:52
41F:→ bitlife: 驗證頁面的網站是否真的是原網站而不是釣魚網站,但手機目 07/18 11:53
42F:→ bitlife: 前因為螢幕尺寸因素,即使連瀏覽器預設都隱藏網址列,所以 07/18 11:54
43F:→ bitlife: 這類第三方(非銀行出品)的app,仍要提防有釣魚可能,顯示與 07/18 11:54
44F:→ bitlife: 原銀行一樣的登入頁面來騙取帳密 07/18 11:54
45F:→ bitlife: 如果銀行端驗證是採取金鑰驗證(如早期的台新,以及目前華 07/18 11:56
46F:→ bitlife: 銀)或者用另一組專用於第3方驗證的帳密並傳簡訊,會安全很 07/18 11:57
47F:→ bitlife: 多,但另一組帳密顯然又增加不必要負擔,所以金鑰系統會比 07/18 11:58
48F:→ bitlife: 較安全. (剛才忘了提到郵局也是有金鑰系統) 07/18 11:59
49F:推 k83nk7agkc: 假鬼假怪,麻布不是絕對安全但是也沒有某些人想像的 07/18 13:42
50F:→ k83nk7agkc: 那麼誇張好不好,真的以為你的網銀帳密就是用明碼存在 07/18 13:42
51F:→ k83nk7agkc: db上那麼嗎,擔心這個不如擔心你平常其它的使用習慣, 07/18 13:42
52F:→ k83nk7agkc: 未來銀行釋出API還是很多人會怕的要死啦 07/18 13:42
53F:→ bailan: 好奇一問,這些網站跟網銀又沒相關登入API合作,帳號密碼 07/18 13:58
54F:→ bailan: 若是存加密編碼過的,能夠送出相關資料去登入嗎? 07/18 13:59
55F:推 gottsuan: 沒有銀行密碼用明碼存在資料庫的 違反電子資料處理法 07/18 14:04
56F:→ gottsuan: 儲存的密碼基本上都是hash+加密 07/18 14:04
57F:→ gottsuan: 網站若有實施E2EE密碼加密 加密處理是在網頁(瀏覽器)端 07/18 14:06
58F:→ gottsuan: 這些app拿到的是你的密碼明碼 登入時他幫你輸入到銀行網 07/18 14:06
59F:→ gottsuan: 頁 經由網頁加密後送出驗證 07/18 14:06
60F:→ asdfghjklasd: 我還給了很多家銀行帳密給麻布咧 07/18 14:07
61F:→ asdfghjklasd: 有帳只能看收入出支跟消費,又能怎樣 07/18 14:07
62F:→ asdfghjklasd: 錢還是轉不出去 07/18 14:08
63F:→ gottsuan: 會怕就快去銀行變更密碼 07/18 14:08
64F:→ asdfghjklasd: 是想知道我住什麼飯店買什麼東西嗎 07/18 14:08
65F:→ gottsuan: 他有辦法去變更安控機制不就可以轉了 例如得到你個資打 07/18 14:09
66F:→ gottsuan: 去變更聯絡方式 然後用他的電話接收SMSOTP 不就可轉帳了 07/18 14:09
67F:→ gottsuan: 偷到帳密只是第一步而已 07/18 14:09
68F:→ gottsuan: 你沒有盡到保管責任 到時候出事 銀行可以推責任給你 07/18 14:11
69F:→ asdfghjklasd: 我沒開電話轉帳 07/18 14:13
70F:→ asdfghjklasd: 是要怎轉,要去櫃台嗎? 07/18 14:13
71F:推 gottsuan: 網銀轉帳用SMSOTP可以非約轉 只是額度較低 07/18 14:15
72F:→ gottsuan: 另外如果你有多個業務往來 比如信用卡/基金/外匯之類的 07/18 14:16
73F:→ gottsuan: 也有風險 被偷到帳密就是第一道關卡被攻破了 07/18 14:17
74F:→ gottsuan: 風險意識薄弱... 07/18 14:17
75F:推 gottsuan: 偷到你的帳密也不見得他自己要駭你 也可以賣給駭客集團 07/18 14:23
76F:推 k83nk7agkc: 實務上現階段是做不到透過第三方驗證,MoneyBook的系 07/18 14:35
77F:→ k83nk7agkc: 統架構如何除了內部外沒人會知道,但就我簡單理解,大 07/18 14:35
78F:→ k83nk7agkc: 致是由App在本地以公鑰加密資料後,透過TLS傳輸並儲存 07/18 14:35
79F:→ k83nk7agkc: 在GCP的VPC上,首先傳輸上的疑慮就沒了,再來是MoneyB 07/18 14:35
80F:→ k83nk7agkc: ook持有資料的問題,原則上持有Key或是訪問權限的開發 07/18 14:35
81F:→ k83nk7agkc: 人員誰都可以拿走使用者的資料,然而團隊內部不可能 07/18 14:36
82F:→ k83nk7agkc: 對此不設防,GCP上也有提供相關的功能給企業管理保密 07/18 14:36
83F:→ k83nk7agkc: 資料 07/18 14:36
84F:→ asdfghjklasd: 網銀轉帳用SMSOTP可以非約轉? 07/18 14:45
85F:→ asdfghjklasd: 我的帳號全都只能用金融卡,是要轉什麼帳? 07/18 14:45
86F:→ asdfghjklasd: 打電話就能更換手機號,這銀行是管控有問題.不是用戶 07/18 14:45
87F:→ bitlife: 不少行動網銀app可以SMSOTP約轉. 當你裝了一個釣魚app,根 07/18 15:10
88F:→ bitlife: 本不用換手機號,只要安裝時被騙,授權了簡訊權限,OTP都可 07/18 15:11
89F:→ bitlife: 以攔截轉發給駭客,駭客就得到了SMSOTP 07/18 15:12
90F:推 slchao: 如果設定只有金融卡可以轉帳,如果銀行改電話需要本人現 07/18 16:25
91F:→ slchao: 場才能更改,風險就比較低 07/18 16:25
92F:→ slchao: 之前搬家,有些銀行地址要現場親自更改,有些接受電話更 07/18 16:27
93F:→ slchao: 改,也許風險控管也不同 07/18 16:27
94F:推 liontall2004: 因為客人會投訴說為什麼一定要現場改資料,然後出事 07/18 23:05
95F:→ liontall2004: 再推說為什麼可以不用現場改資料 07/18 23:05
96F:→ Kazamatsuri: Google Store上有人問資安問題 他們也有回答~ 07/18 23:12
97F:推 Kazamatsuri: 另外有Youtuber說暗網早就有駭客駭到很多帳密了... 07/18 23:17
99F:推 amygm307: 您們好,我是麻布記帳的麻編,真的很感謝大家對我們 07/20 14:31
100F:→ amygm307: 的指教,關於資安部分,因為台灣的法規尚未明朗化, 07/20 14:32
101F:→ amygm307: 所以我們參照各國資安標準做了相當多的努力,我們也知道 07/20 14:32
102F:→ amygm307: 無論做得多完善,在金管會第二階段帳戶資訊API尚未推出 07/20 14:32
103F:→ amygm307: 之前,一定還是會有很多人對於把帳密提交給我們感到疑慮 07/20 14:33
104F:→ amygm307: 所以除了完善資安之外,我們也花了近一年的時間, 07/20 14:33
105F:→ amygm307: 金管會監管。 07/20 14:34
106F:→ amygm307: 今年金管會其中一項重點政策在於Open Banking, 07/20 14:34
107F:→ amygm307: 金管會委託財金公司制定開放API以及銀行與第三方業者 07/20 14:34
108F:→ amygm307: 串接API的規範,財金公司也在今年七月邀請我們加入 07/20 14:35
109F:→ amygm307: 開放API的測試以及相關規格的制定,相信很快就會進展到 07/20 14:35
110F:→ amygm307: 規劃第二階段帳務資訊API,我們會持續的更新與財金公司 07/20 14:35
111F:→ amygm307: 和銀行合作的狀況給各位,有興趣但有疑慮的人也都可以在 07/20 14:36
112F:→ amygm307: 完成第二階段API串接後再來使用Moneybook。 07/20 14:36
113F:→ amygm307: QQ金管會那段漏字了..近一年來,我們持續努力和主管機關 07/20 14:44
114F:→ amygm307: 溝通,希望像我們這樣的業者能夠被金管會監管。 07/20 14:45
115F:推 amygm307: 國外類似的服務發展的相當成熟,像是美國的Mint、 07/20 14:50
116F:→ amygm307: 日本的Moneyforward,麻布也向他們看齊,無論是在協助 07/20 14:51
117F:→ amygm307: 政策推動,以及完善用戶許願的功能,我們都會繼續努力, 07/20 14:51
118F:→ amygm307: 協助推動台灣Open Banking的進展 07/20 14:51
119F:推 wang0920: 我從來不用非本行的app太危險了!而且出事銀行可以不用 07/21 11:31
120F:→ wang0920: 處理的 07/21 11:31
121F:→ prussian: 麻編你要不要直接回一篇就好了..這樣也比較好繼續討論 07/21 19:48