作者cool810 (silence)
看板Bank_Service
標題[請益] 手機轉帳最安全機制是否簡訊OTP驗證
時間Fri Nov 21 19:54:32 2025
請教大家....
目前大部分手機銀行app
都可裝置綁定後(現在大都用sim卡電信門號認證綁定設備),
以生物辨識或圖型解鎖,做轉帳動作
近期改版的元大行動app....也把簡訊OTP轉帳改成MOTP推播驗證
為何還有少數幾家堅持轉帳要用簡訊OTP驗證呢?
是這樣的安控機制最安全嗎?
--
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Bank_Service/M.1763726074.A.B9D.html
※ 編輯: cool810 (60.244.164.9 臺灣), 11/21/2025 19:56:43
1F:→ peter98: 不是 OTP是很危險的東西,所以銀行才要客戶用。。。 11/21 19:59
2F:→ cool810: 剩沒幾家行動銀行非約轉還要多一道簡訊OTP驗證,感覺比較 11/21 20:05
3F:→ cool810: 麻煩,多一道麻煩是否就多一道安全,但在國外就不方便 11/21 20:06
4F:→ ShinHsin: 銀行應該開發authenticator這種動態生金鑰的APP再綁裝置 11/21 20:08
5F:→ ShinHsin: 作認證比較好 11/21 20:08
※ 編輯: cool810 (60.244.164.9 臺灣), 11/21/2025 20:11:21
6F:→ bill0205: 安不安全我是不知道 但是成本來說 APP推播OTP比簡訊便宜 11/21 20:23
7F:→ bill0205: 倒是真的 11/21 20:23
8F:推 Kazamatsuri: 應該是目前銀行最簡單便宜的方式,不是最安全的方式 11/21 20:32
9F:推 mx5021: 會把密碼交出去的人怎麼做都一樣 11/21 20:57
10F:→ mx5021: 很少確認是真的駭客入侵的 都是受害者自行交出 11/21 20:58
11F:推 alloc: 沒看過有中間盜取OTP的案例 大多是自己交出或是被釣魚給出 11/21 21:11
12F:→ eXcFerGodSt: 目前最安全的應該是國泰的 Passkey 跟行動自然人同一 11/21 21:17
13F:→ eXcFerGodSt: 等級 11/21 21:17
14F:推 aljust12: 不是 至少要10重認證 密碼>OTP>PIN>信箱>圖形>指紋>臉部 11/21 21:41
15F:→ aljust12: 瞳孔>聲紋>實體身分證影像掃描 這樣夠安全但沒銀行會做 11/21 21:42
16F:推 tonyian: 不想動自家資訊系統,可能已經超負荷或是內部結構很糟糕 11/21 21:45
17F:→ tonyian: ,多加東西都要考慮很多東西 11/21 21:45
18F:→ temu2015: 富邦刷卡OTP也可以改成Passkey了 11/21 21:51
19F:→ imrt: 他只是希望你裝他的APP讓他好滲透到你的手機有一席之地 11/21 21:54
20F:→ temu2015: Passkey要網域對才能觸發、不可複製不可匯出,而且沒有 11/21 21:55
21F:→ temu2015: 東西可以「給出去」,唯一的問題就是自己亂核准交易。 11/21 21:55
22F:→ temu2015: 我覺得應該要手動輸入交易幣別跟金額才可以核准,不然一 11/21 21:55
23F:→ temu2015: 路按確定按指紋的人也很多。 11/21 21:57
24F:推 bill0205: 目前最安全還是推MFA啦 但金融單位應該不信目前MFA的單 11/21 23:06
25F:→ bill0205: 位就是了 11/21 23:06
26F:推 yixianl: 你被釣魚就是最危險的 11/22 08:12
27F:→ tomsawyer: passkey一點用沒有 用app購物 如果自己內嵌一個webvie 11/22 08:41
28F:→ tomsawyer: w就觸發不了了(蝦皮) 11/22 08:41
手機非約定轉帳的時候,
1.用戶端手機認證綁定裝置輸入密碼(或生物辨識)
2.銀行端發送簡訊OTP驗證才讓你轉帳
加上第2.步驟是雙保險最嚴格吧。
現在多數銀行已捨棄2.,只要第1.步驟,用戶單方面手機認證就能轉帳,最方便
堅持加上2.多一道銀行把關手續才能轉,除了增加成本(增加麻煩?),也是基於安全考量?
星展的最麻煩,只是登入app看帳號,還要發送OTP驗證。
※ 編輯: cool810 (60.244.164.9 臺灣), 11/22/2025 09:27:39
29F:噓 edison901: OTP哪裡危險?明明就是銀行想省簡訊費 11/22 12:00
30F:→ pippen2002: 不覺得危險! 不然你要用啥驗證?? 11/22 15:03
31F:推 svcc: OTP就是廢物 11/22 15:42
32F:→ bill0205: 講最難聽的 任何機制都很危險 世界上沒有絕對安全的驗 11/22 16:28
33F:→ bill0205: 證機制 只有信不信任與使用者智商問題 11/22 16:28
34F:→ cool810: 只是覺得像永豐app都用sim卡電信門號認證綁定手機了,也 11/22 19:13
35F:→ cool810: 有生物辨識驗證,轉帳還要簡訊OTP好像多此一舉? 11/22 19:14
36F:→ cool810: 永豐好像約轉才不用OTP...有點忘了 11/22 19:20
37F:→ cool810: 非約轉簡訊OTP是過去一向慣用的安控機制,現在有新技術 11/22 19:32
38F:→ cool810: 傳統方式不一定就比較不安全,好比打詐有的回到臨櫃處理 11/22 19:33
39F:→ temu2015: SMS OTP請參考台哥大貼牌機事件 11/22 19:53
40F:推 BabyWolf: 你後來的說明跟標題不符啊 你是在說1+2比1安全 這無法支 11/22 19:55
41F:→ BabyWolf: 持"2是最安全的" 而其他人跟你舉例的元大 不就有1+3了嗎 11/22 19:56
42F:→ cool810: 我標題寫得不好,一開始想的沒那麼完整,應該改成手機轉 11/22 20:14
43F:→ cool810: 障加上簡訊OTP驗證是否最安全 比較貼切 11/22 20:15
44F:→ cool810: 或者問 為何有些銀行轉帳仍要透過簡訊OTP(大都不需要了) 11/22 20:17
45F:推 BabyWolf: 就如你說的好像那幾家也是非約轉才要 而另一個問題就是 11/22 20:27
46F:→ BabyWolf: 除了那幾家 也有其他是如推文所說在app內推播的otp(可以 11/22 20:28
47F:→ BabyWolf: 自動帶入) 也就是1+3 如果1+3其實比1+2安全 只是那些銀 11/22 20:29
48F:→ BabyWolf: 行做不到 那就1+2也仍然非"最安全"的方式 11/22 20:30
49F:→ cool810: 元大新版行動銀行改成app推播otp了,這是我原發文就提了 11/22 20:35
50F:→ cool810: 看來有些銀行還維持傳統簡訊otp可能沒投入技術或另有考量 11/22 20:35
51F:推 BabyWolf: 另一個問題是"2(簡訊otp)很危險"這多半是在討論刷卡時銀 11/22 20:39
52F:→ BabyWolf: 行免責的問題 那麼在轉帳這件事上成不成立呢 這就比較少 11/22 20:40
53F:→ BabyWolf: 看到案例跟討論 好像也可分成單純的2 或1+2 如果有簡訊 11/22 20:41
54F:→ BabyWolf: otp的盜用轉帳(?)(其實我也不知怎麼弄) 銀行也不認嗎 11/22 20:42
55F:推 skasia886: 嫌SMS OTP不安全說改用GA的人應該是沒看過GA被側錄然後 11/22 22:25
56F:→ skasia886: 加密貨幣被盜走 而且要用GA還要輸入金鑰才會產出OTP碼 11/22 22:25
57F:→ skasia886: 金鑰被盜整個GG 一般人會妥善保管金鑰?我是不太相信 11/22 22:25
58F:推 Kazamatsuri: OTP安全性隔壁板討論過多次了 雖然多數是被釣魚給出 11/22 22:40
59F:→ Kazamatsuri: 去的 但就還是有沒給還是被盜的例子 連新加坡都要求 11/22 22:40
60F:→ Kazamatsuri: 不要再推刷卡OTP簡訊了 至於轉帳就再討論了 11/22 22:41
61F:推 alloc: 目前看OTP被盜好像都是終端(木馬程式拿到簡訊權限或EMAIL被 11/22 22:46
62F:→ alloc: 盜用取得OTP) 要攔截簡訊OTP難度滿高的 比較多還是使用者問 11/22 22:46
63F:→ alloc: 題 11/22 22:47
64F:推 cityport: Verizon的CEO在2019年就說過簡訊OTP非常不安全 11/23 04:21
65F:→ cityport: 你有比Verizon懂嗎! 11/23 04:22
66F:→ cityport: Verizon一年花多少錢在資安,結果一堆半吊子在吹簡訊OTP 11/23 04:24
67F:→ bnn: 現在連基地台都可以開麵包車去劫你信號了 別再相信OTP難攔截 11/23 08:29
68F:噓 lianpig5566: 基地台劫訊號跟OTP被攔截是兩件事吧 11/23 22:45
69F:推 tsubasawolfy: OTP攔截是3/4G的基地台漏洞 11/24 09:35
70F:→ cityport: OTP攔截至少有從基地台截取明碼跟複製sim卡2種方式 11/24 13:12
71F:→ cityport: 更別提台灣絕大多數人都還在用4G 11/24 13:12
72F:→ cityport: 現在連Apple Pay都能被複製token盜刷了,簡訊是小菜一碟 11/24 13:14
73F:→ cityport: 被盜刷的苦主找美花一層層追溯才找出AP被盜刷的原因 11/24 13:16
74F:→ cityport: 話說在台灣,三大配好像仍然是不可否認的交易齁 11/24 13:18
75F:→ Kazamatsuri: 連感應Pay都能被盜?那目前真的沒什麼一定安全的了 11/24 13:30
76F:→ cityport: SP不知道,但GP漏洞好幾個,AP目前至少一個漏洞 11/25 02:37
77F:→ cityport: 漏洞基本不在手機端,而是發卡行沒有/無法驗證真實商家 11/25 03:12
78F:→ realbout: 現在安卓兩大PAY 要綁信用卡只能打電話 打電話還不定綁 11/25 16:53
79F:→ realbout: 得起來...... 11/25 16:53
80F:推 BabyWolf: 不會給規則怕被鑽漏洞 不過實測GP好像會認手機 我之前A 11/25 19:45
81F:→ BabyWolf: B兩支手機都綁過約20張 輪流摔壞換備用時 照兩隻即使清 11/25 19:46
82F:→ BabyWolf: 空還是每一張都被要求打電話 後來換支全新的C 目前綁10 11/25 19:47
83F:→ BabyWolf: 張以內都還可以用簡訊搞定 11/25 19:47