作者basterds (惡棍特工)
看板Bank_Service
標題[問題] APP行動轉帳的安控機制
時間Sat Aug 24 11:55:39 2019
目前網銀APP的行動轉帳(非約轉部份)大概有3種安控機制(約轉應該都是SSL)
1.APP本身通過密碼或指紋驗證即可
台新Richart
一銀ileo
合庫網銀APP
2.搭配手機簡訊輸入驗證碼
永豐大戶
富邦
UBOT
3.搭配專屬的安控軟體提供驗證碼
兆豐+行動e碼
華南+行動保鏢
彰銀+行動御守
.....
使用起來是1.類最簡便,感覺上也不致於很曝險,畢竟還是需經驗證帳密或指紋
而裝置本身也是得先通過綁定手機號碼
各家銀行好像也沒開放/開發方式讓用戶選擇,用戶就是依照指定機制去使用
大家會覺1.2.類確實不夠安全而必須使用3.類嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.77.159.44 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Bank_Service/M.1566618941.A.F0B.html
※ 編輯: basterds (42.77.159.44 臺灣), 08/24/2019 11:57:01
1F:→ alex1973: 3 對使用者而言,怎麼看的出來有比較安全?08/24 11:59
2F:→ bailan: 以前土銀是3前陣子也合併到網銀APP了08/24 12:00
3F:→ basterds: @alex大,小弟以為多一重機制的目的是就為了提升安全性08/24 12:02
4F:→ basterds: ,不然幹麻脫褲子放屁XD08/24 12:02
5F:噓 PAYPASS: 1.台新有綁定手機裝置 別台手機登入還要驗證過才能轉08/24 12:05
6F:→ PAYPASS: 怎會不安全08/24 12:07
7F:→ basterds: @P大,小弟個人是覺的1類足夠ok,但我不是專家也不預設08/24 12:18
8F:→ basterds: 立場評斷安全性的優劣,所以想聽看看板友們是不是有更好08/24 12:18
9F:→ basterds: 的見解囉08/24 12:18
10F:推 nsk: 2還有 UBOT...... 08/24 12:37
11F:推 yixianl: koko轉帳也是簡訊 看華南有簡訊的選項也許能申辦08/24 12:41
12F:→ dip987: 3 愚蠢到爆08/24 12:45
13F:→ prussian: 安控軟體就和密碼產生器一樣是方便離線也可以用 08/24 12:45
14F:→ prussian: 但是手機既然要交易不可能沒網路所以...08/24 12:46
15F:→ horusli: 最麻煩的是匯豐小精靈吧 zzz08/24 12:53
16F:推 HMKRL: 1最好 2國外麻煩 3爛爆08/24 12:58
17F:推 Forbes: 怎麼如果用TOUCH/FACE ID的話 1比23安全 23手機被盜一樣死08/24 13:01
18F:→ Forbes: 怎麼覺得*08/24 13:01
19F:推 Electroche: 3就是脫褲子放屁 公股行庫才會用的爛APP08/24 13:08
20F:推 hiiir5566: 要講安全性1最危險 有心人直接多註冊一組指紋在手機裡08/24 13:54
21F:→ hiiir5566: 就全轉光了 08/24 13:54
22F:推 bitlife: 3主要是讓銀行也能確認執行轉帳命令的手機確實是原手機,08/24 13:58
23F:→ bitlife: 1和2理論上存在簡訊被空中偵聽的可能. 當然手機落入他人08/24 14:00
24F:→ bitlife: 手中,已經no physical security,那就no security了08/24 14:00
25F:推 sisay: 我覺得2覺得稍微保險一點 撇開被監控的可能08/24 14:06
26F:→ sisay: 我現在連登入通知都會設定重要信件 在手機顯示通知08/24 14:06
27F:→ sisay: 裝了網路銀行後手機也不越獄了08/24 14:08
28F:推 sgracee: 如果手機被植入後門,就有可能被監聽!08/24 14:11
30F:推 atrix: 2還有富邦08/24 15:34
31F:→ TZUYIC: 郵局的最爛,有夠卡的,郵保鑣真是鬼東西,有人附議嗎?08/24 15:35
※ 編輯: basterds (42.77.159.44 臺灣), 08/24/2019 16:04:17
32F:推 now99: 國泰世華 認證密碼鎖 要輸入轉出帳號產生OTP才安全 08/24 16:10
33F:推 TZUYIC: 跟HSBC密碼小精靈一樣的東西,但HSBC被嫌死,因為登入網銀 08/24 16:14
34F:→ TZUYIC: 也要用密碼小精靈,被網友嫌擾民。 08/24 16:14
35F:→ Hikaru317: 郵局的真的超難用 08/24 17:12
36F:→ nkhs9412235: 如果指紋有多一組,永豐會要求重新輸入帳號密碼才能 08/24 17:15
37F:→ nkhs9412235: 登入,所以技術上做得到比對是否多一組指紋。 08/24 17:15
38F:推 mike7689: 郵局喔 如果已經有約轉 可以不用郵保鑣 08/24 17:58
39F:→ mike7689: 但如果是非約轉帳號 只能乖乖靠郵保鑣認證 08/24 17:59
40F:推 go1717: 要多一組指紋 就要先輸入解鎖密碼 08/24 23:55
41F:→ go1717: 上面S大影片 在26:22裡 有一個重要原因:灌有問題的app 如 08/25 00:10
42F:→ go1717: 果是用蘋果就沒有這問題 我都不知道要怎麼把 不是App Stor 08/25 00:10
43F:→ go1717: e的app裝到手機 08/25 00:10
44F:推 go1717: 越安全就越不方便 我看直接把安全等級開到最高好了XD:1綁 08/25 00:27
45F:→ go1717: 定裝置 2密碼 3安全提問 4簡訊驗證 5驗證手機號碼 6指紋 7 08/25 00:27
46F:→ go1717: 人臉辨識 8聲紋辨識 08/25 00:27
47F:→ go1717: 本來還想寫密碼鎖app就算了 大家都出一個就亂七八糟XD 08/25 00:27
48F:→ basterds: 如果3.只是為了驗證手機為本人持有,那可學1.在啟用APP 08/25 11:52
49F:→ basterds: 時先做一次性裝置驗證,這樣就不需在每次交易時使用輔助 08/25 11:52
50F:→ basterds: 安控軟體? 08/25 11:52
51F:推 yeuling9300: 呃現在我用過的app好像第一次啟用本來就都會要求做裝 08/25 13:11
52F:→ yeuling9300: 置綁定吧 根據我重置手機後把app載回來的經驗 08/25 13:11
53F:→ bitlife: 3不是手機為本人所持有,是轉帳請求確實來自初次安裝手機 08/25 17:05
54F:→ bitlife: 簡單講,在3的情況,其他手機要假冒轉帳請求難度很高.而透 08/25 17:06
55F:→ bitlife: 過簡訊OTP,駭客是有可能從其他手機發起轉帳,只要他透過手 08/25 17:07
56F:→ bitlife: 法(木馬或偵聽簡訊)取得OTP,他就有可能轉帳成功 08/25 17:08
57F:推 bitlife: 至於1要看銀行實際作法,是否把3整合進網銀app內,如果是, 08/25 17:12
58F:→ bitlife: 那安全性基本上和3算同等級 08/25 17:13
59F:→ bitlife: 但由於3是獨立軟體,且變動性低,單獨出來控管是相對安全, 08/25 17:14
60F:→ bitlife: 在高度重視安全的應用環境,連開發人員的可靠性以及安全等 08/25 17:15
61F:→ bitlife: 級控管都是很重要的事,3獨立出來可以讓經手3的人數最少, 08/25 17:15
62F:→ bitlife: 較容易做到高安全性 08/25 17:15
63F:→ bitlife: 把3想成銀行保管箱master key,如果作業嚴謹,應該是由高級 08/25 17:16
64F:→ bitlife: 主管持有,並且有人要進出開箱,由該高級主管親自陪同.但實 08/25 17:17
65F:→ bitlife: 務上會搞到一般前台櫃檯員就自己去拿了master key陪同客 08/25 17:17
66F:→ bitlife: 戶開箱,可想而知,安全性是會下降的 08/25 17:18
67F:→ basterds: 謝謝b大分享 08/25 21:54
68F:推 emc771222: 越方便就越不安全是一定的,就像房鎖是一樣的,重點在 08/26 12:30
69F:→ emc771222: 解鎖不容易,但是常常被自己沒帶鑰匙給打敗 08/26 12:30
70F:推 wtfconk: 如果是臺銀的話半夜轉帳最好用3,他們OTP簡訊非常不穩… 08/30 02:25
71F:推 perry0919: 謝謝b大分享,為了便利妥協安全性,這種app我不敢用。 08/31 14:38
72F:推 harpgalaxy: 兆豐是3 實際上真的是分行的警衛大哥在教大家怎麼操 09/11 22:13
73F:→ harpgalaxy: 作呢! 行員一副這不干我的事請找警衛的態度 09/11 22:13