中國信託手機OTP + 交易確認碼 - 銀行

※ 引述《mrparanoiac (富士山下的熊)》之銘言：
: ※ 引述《kuoyu (^_^)》之銘言：
: : 中國信託的手機簡訊也有一個盲點
: : 印象中有一個案例 有一個人出國
: : 結果手機被人家掛失 sim卡補發
: : 當事人只知道手機不能打 在國外不方便處理
: : 回國後才發現大事不妙 現在不知道破案了沒有
: : 歹徒應該是熟人 因為對當事人的資料很清楚
: : 之道出國回國的時間 還有辦法取得相關證件
: : 輕易地讓電信公司把原來的sim卡掛失
: : 畢竟電信公司對身份的審核不是那麼嚴格
: : 補發之後插到自備的手機 就可以收到密碼了
: 所以現在升級為"手機OTP + 交易確認碼" 雙安全機制啦
: 憑中國信託晶片金融卡去分行ATM或7-11 ATM申請交易確認表
: 申請後簡訊中除了原本的動態密碼外還增加了需查表才知道的數值
: http://0rz.tw/e545t

老實說我對這一個做法還是存在一點疑慮
加了一張密碼表(交易確認碼)的確有助於安全性的提昇
但是能夠提昇多少我持保留態度
透過驗證[使用者有 其他人沒有的東西]是系統安全的基本方式
像是密碼 鑰匙 暗號 指紋 掌紋 眼角膜等等
前三者是有辦法複製的 後三者難以複製
中國信託用到的有帳號密碼 晶片卡 手機sim卡與交易確認碼
現在網路木馬橫行 帳號密碼很容易外洩
無法保證只有本人持有 手機sim卡對應的門號是唯一的
所以發送簡訊理論上只有一張sim卡所在的手機會收到
但是電信公司對身分認證不夠嚴格 所以有上面的案例出現
電信公司的錯誤銀行不賠 也難以向電信公司求償
晶片卡與sim卡一樣 同時間只有一張是有效的 目前也難以複製
不過晶片卡是由銀行端掌控的 身分確認較為嚴格
如果錯誤在銀行 銀行要負責任
但是問題是這張表是列印在一張紙上的
紙上記載的資訊誰都會複製
而且驗證當時並不需要晶片卡作用
這一點就讓我覺得安全性下降了


--