使用OTP簡訊驗證,對消費者真的有利嗎? - 信用卡

Faithe avatar
By Faithe
at 2015-10-18T11:32

Table of Contents

因小弟不是網路資訊安全/法律的專家,以下內容還請大家給予指正,謝謝


====
小弟從二個階段性的面向來思考、分析 OTP 簡訊對消者是否真的有利,是否應該採用?
或是應該回歸到傳統的刷卡方式,也就是只使用卡號、到期日期、末三碼進行驗證


二個階段性面向為:
  一、使用 OTP 簡訊還有可能被盜用嗎?
  二、如果有可能被盜用,盜用金額的支付責任歸屬主要在誰身上?
    (由銀行或消費者負擔?)

  靜態的3D驗證碼,根據最近查找的網路資料
  已經是公認很不安全的做法,所以這裡就不特別提出了。


一、使用 OTP 簡訊還有可能被盜用嗎?

  OTP 簡訊在理論上是不夠安全的,因為手機可能因為中木馬
  導致簡訊內容被截聽。實務上也已經有手機中木馬被操控的新聞
    詐騙木馬侵手機 警傳授移除法
    http://news.ltn.com.tw/news/local/paper/815702

  因為被動 OTP 簡訊不夠安全,因此刑事局也在推廣 Active OTP驗證
    防詐騙!刑事局與業界聯手推廣手機 Active OTP驗證 | iThome
    http://www.ithome.com.tw/news/86883


二、如果有可能被盜用,盜用金額的支付責任歸屬主要在誰身上?
  (由銀行或消費者負擔?)

  即然不夠安全,就要注意一下如果被盜用,盜刷的金額應該由誰負擔。

  以網路刷卡很紅的富邦銀行信用卡,其OTP 驗證服務條款為例
    台北富邦銀行MasterCard驗證服務約定事項,摘錄如下
    (https://goo.gl/m2Bna9)
    三. 個人密碼與安全保密
    持卡人同意若機密訊息有遺失、被竊、被其他人知悉、
    冒用、盜用之情事或有發生之虞時,應比照信用卡約定條款
    第十七條卡片遺失、被竊或其它喪失佔有之約定......
  
  何謂信用卡約定條款第十七條 呢?內容摘錄如下
    (https://goo.gl/NMzDS0)
    第十七條(卡片被竊、遺失或其他喪失占有等情形)
    甲方(消費者)自辦理掛失停用手續時起被冒用所發生之損失,
    概由乙方(銀行)負擔 。


  光這樣看可能會覺得很正常,但如果跟第十八條比,
  就會發現可能對消費者不利的地方

    第十八條(遭冒用之特殊交易) (https://goo.gl/NMzDS0)
    甲方之信用卡如有遭他人冒用為第九條(註1)特殊交易之情形...
    ...甲方(消費者)辦理停卡及換卡手續前被冒用所發生之損失
    概由乙方(銀行)負擔。
 

  如果我對法條的理解正確,第十七條跟第十八條的差異在於:
    第十七條:辦理掛失前的損失,由消費者自行負擔
    第十八條:辦理掛失前的損失,由銀行負擔
        (也就是以往大家熟知的,遇到盜刷,銀行會負責)


那何時使用第十七條、何時使用第十八條呢?

  如果使用OTP:則根據OTP使用條款,會採用第十七條
         掛失前的損失,消費者自行負擔。

  如果使用傳統刷卡方式:(符合第九條,註1),則採用第十八條
              掛失前的損失,由銀行負擔。



結論 (如有誤請大家指正):

以安全性而言:OTP安全性比傳統刷卡高,但也不是絕對安全。
以對消費者的盜刷付款保護而言:使用傳統刷卡方式,保障高很多。



-------
註1:第九條的內容摘錄如下,簡單說就是使用傳統的
[卡號、到期日期、末三碼] 刷卡方式

依一般交易習慣或交易特殊性質,其係以郵購、電話訂購、傳真、 網際網路、
行動裝置、自動販賣設備、飯店訂房等其他類似方式訂 購商品、取得服務、
代付費用而使用信用卡付款,或使用信用卡於 自動化設備上預借現金等情形,
乙方得以密碼、電話確認、收貨單 上之簽名、郵寄憑證
或其他得以辨識當事人同一性及確認甲方意思 表示之方式代之,
無須使用簽帳單或當場簽名。

甲方有為前項交易時,不得以未簽名為理由,作為拒繳應付款項之 抗辯。

--

--

All Comments

Oliver avatar
By Oliver
at 2015-10-20T02:09
申請3d驗證,也要店家支援,所以現行制度還是有脫褲子放屁
一樣
Eartha avatar
By Eartha
at 2015-10-21T22:24
而且申請3d驗證一樣可以去無支援的店家盜刷
Tracy avatar
By Tracy
at 2015-10-22T18:20
實務上沒有絕對安全的機制 都是要和成本 便利性等其他
現實因素權衡
Jacky avatar
By Jacky
at 2015-10-23T12:10
信用卡的交易方式就不是一個安全的方式 是用安全換便利
Zanna avatar
By Zanna
at 2015-10-28T10:05
我覺得還算安全,除非手機掉了. 原因是就算中了木馬,歹徒盜刷
Brianna avatar
By Brianna
at 2015-10-30T06:25
簡訊也會傳到你手上. 所以一有盜刷你就會收到簡訊
Harry avatar
By Harry
at 2015-10-30T10:35
信用卡付款沒這麼快,收到莫名簡訊去通知客服還來得及
Tom avatar
By Tom
at 2015-11-03T04:14
感謝樓上,差點忽略這點了
Skylar DavisLinda avatar
By Skylar DavisLinda
at 2015-11-04T09:57
傳統方式也不是一定銀行扛風險 還是有責任歸屬問題
Zenobia avatar
By Zenobia
at 2015-11-06T13:48
況且一個機制好壞與否也不是只看持卡人端 也要看銀行端
和特店端的風險
持卡人把風險都轉嫁給銀行或特店 這樣也不是好的安控啊
Brianna avatar
By Brianna
at 2015-11-08T16:06
OTP已經安全很多了 除非手機信用卡一起掉又被拿去刷...
Delia avatar
By Delia
at 2015-11-13T11:26
問題是一大堆網站根本連3D都沒有啊XD
Oliver avatar
By Oliver
at 2015-11-16T09:19
持卡人未失卡的情況..何來責任歸屬
盜刷幾乎都是未失卡的情況呀
Puput avatar
By Puput
at 2015-11-18T08:45
如果OTP被盜刷..還要扯電信公司下水..並不是好方法
Linda avatar
By Linda
at 2015-11-21T06:16
未失卡被線上3D盜刷 也有可能是持卡人自己流出密碼
所以責任是哪方也很難說
Ursula avatar
By Ursula
at 2015-11-22T13:50
持卡人串通盜刷詐騙銀行的事情也是有發生過
Madame avatar
By Madame
at 2015-11-24T05:05
未失卡被3D盜刷 已經有很多銀行說持卡人要負責了 就算是
卡號密碼都被猜中的衰鬼
Agnes avatar
By Agnes
at 2015-11-24T13:01
感覺就是雙面刃 只是大部分時候 放便>安全性而已
Christine avatar
By Christine
at 2015-11-29T03:56
手機中了簡訊攔截的木馬,根本一封簡訊都不會讓你看到
,他會直接把寄進來的簡訊隱藏起來
Tristan Cohan avatar
By Tristan Cohan
at 2015-11-30T09:27
簡訊OTP怕手機中"隱蔽+轉發"簡訊的毒 避免方式就是不要
Frederica avatar
By Frederica
at 2015-12-04T14:41
用android 用功能型 winowsphone或iphone都沒這個問題
Vanessa avatar
By Vanessa
at 2015-12-07T09:43
其實有問題的話建議可以去金管會和消保會反應,要求修
正定型化契約的應記載及不得記載事項,這樣才有可能改
變現況

請問OTP的好處?

Sierra Rose avatar
By Sierra Rose
at 2015-10-18T01:21
小弟我對於OTP的理解是這樣 OTP的功能要啟用,要同時滿足2的條件 1.有向發卡銀行申請OTP(或是銀行強制使用) 2.刷卡的商家有提供刷卡驗證服務 對於商家和銀行來說,OTP的好處是交易有不可否認性 但是對於持卡人來說,又帶來什麼好處呢? 如果我的信用卡資料外洩了 有心人只要到沒有配合OTP驗證的 ...

富邦數位生活LINE卡回饋金折抵問題

Bennie avatar
By Bennie
at 2015-10-18T00:21
請問數位生活LINE卡的次期回饋金折抵 只能折抵數位生活LINE卡的消費嗎? 還是其他在同張帳單上的富邦信用卡消費也可以折抵?? - ...

玉山icash聯名卡 多重優惠詢問

Anthony avatar
By Anthony
at 2015-10-17T22:56
在板上看到很多優惠內容,但資訊比較零散 詢問客服又沒辦法給我最完整的優惠訊息,總是東缺西漏,客服又不是很好打... 所以把目前我爬文爬到的先列出來,想請教還有沒有哪些是我沒注意到 1.新戶申辦icash聯名卡,45天內首刷2筆699送OPENPOINT點數15萬點 http://www.esunb ...

請問這是被盜刷還是詐騙網頁?

Mary avatar
By Mary
at 2015-10-17T21:04
我的花旗卡上禮拜才因為安全疑慮被銀行要求換發新卡 新卡下來才沒幾天今天凌晨又收到這封email https://drive.google.com/open?id=0BykNK014ybfUaGc2U0p3LWRoOVU 點進去是這樣 https://drive.google.com/open?id=0 ...

花旗 饗樂卡年費

Gary avatar
By Gary
at 2015-10-17T20:55
前年覺得響樂卡的優惠還不錯 所以辦了一張來刷某幾間餐廳及電影票 平常也有愛用的卡片就很少刷響樂卡 今天收到年費帳單1200 = = 爬文看了一下大概是換點數or補刷 不過都是去年的文 剛致電的選項只有轉電子帳單才能取消年費 讓大家參考一下囉 嗯...準備剪卡了XD 優惠強勢已不在 - ...