使用OTP簡訊驗證，對消費者真的有利嗎？ - 信用卡

因小弟不是網路資訊安全/法律的專家，以下內容還請大家給予指正，謝謝


====
小弟從二個階段性的面向來思考、分析 OTP 簡訊對消者是否真的有利，是否應該採用？
或是應該回歸到傳統的刷卡方式，也就是只使用卡號、到期日期、末三碼進行驗證


二個階段性面向為：
　　一、使用 OTP 簡訊還有可能被盜用嗎？
　　二、如果有可能被盜用，盜用金額的支付責任歸屬主要在誰身上？
　　　　(由銀行或消費者負擔？)

　　靜態的3D驗證碼，根據最近查找的網路資料
　　已經是公認很不安全的做法，所以這裡就不特別提出了。


一、使用 OTP 簡訊還有可能被盜用嗎？

　　OTP 簡訊在理論上是不夠安全的，因為手機可能因為中木馬
　　導致簡訊內容被截聽。實務上也已經有手機中木馬被操控的新聞
　　　　詐騙木馬侵手機 警傳授移除法
　　　　http://news.ltn.com.tw/news/local/paper/815702

　　因為被動 OTP 簡訊不夠安全，因此刑事局也在推廣 Active OTP驗證
　　　　防詐騙！刑事局與業界聯手推廣手機 Active OTP驗證 | iThome
　　　　http://www.ithome.com.tw/news/86883


二、如果有可能被盜用，盜用金額的支付責任歸屬主要在誰身上？
　　(由銀行或消費者負擔？)

　　即然不夠安全，就要注意一下如果被盜用，盜刷的金額應該由誰負擔。

　　以網路刷卡很紅的富邦銀行信用卡，其OTP 驗證服務條款為例
　　　　台北富邦銀行MasterCard驗證服務約定事項，摘錄如下
　　　　(https://goo.gl/m2Bna9)
　　　　三. 個人密碼與安全保密
　　　　持卡人同意若機密訊息有遺失、被竊、被其他人知悉、
　　　　冒用、盜用之情事或有發生之虞時，應比照信用卡約定條款
　　　　第十七條卡片遺失、被竊或其它喪失佔有之約定......
　　
　　何謂信用卡約定條款第十七條 呢？內容摘錄如下
　　　　(https://goo.gl/NMzDS0)
　　　　第十七條（卡片被竊、遺失或其他喪失占有等情形）
　　　　甲方(消費者)自辦理掛失停用手續時起被冒用所發生之損失，
　　　　概由乙方(銀行)負擔 。


　　光這樣看可能會覺得很正常，但如果跟第十八條比，
　　就會發現可能對消費者不利的地方

　　　　第十八條（遭冒用之特殊交易） (https://goo.gl/NMzDS0)
　　　　甲方之信用卡如有遭他人冒用為第九條(註1)特殊交易之情形...
　　　　...甲方(消費者)辦理停卡及換卡手續前被冒用所發生之損失
　　　　概由乙方(銀行)負擔。
　

　　如果我對法條的理解正確，第十七條跟第十八條的差異在於：
　　　　第十七條：辦理掛失前的損失，由消費者自行負擔
　　　　第十八條：辦理掛失前的損失，由銀行負擔
　　　　　　　　（也就是以往大家熟知的，遇到盜刷，銀行會負責）


那何時使用第十七條、何時使用第十八條呢？

　　如果使用OTP：則根據OTP使用條款，會採用第十七條
　　　　　　　　　掛失前的損失，消費者自行負擔。

　　如果使用傳統刷卡方式：(符合第九條，註1)，則採用第十八條
　　　　　　　　　　　　　　掛失前的損失，由銀行負擔。



結論 (如有誤請大家指正)：

以安全性而言：OTP安全性比傳統刷卡高，但也不是絕對安全。
以對消費者的盜刷付款保護而言：使用傳統刷卡方式，保障高很多。



-------
註1：第九條的內容摘錄如下，簡單說就是使用傳統的
[卡號、到期日期、末三碼] 刷卡方式

依一般交易習慣或交易特殊性質，其係以郵購、電話訂購、傳真、 網際網路、
行動裝置、自動販賣設備、飯店訂房等其他類似方式訂 購商品、取得服務、
代付費用而使用信用卡付款，或使用信用卡於 自動化設備上預借現金等情形，
乙方得以密碼、電話確認、收貨單 上之簽名、郵寄憑證
或其他得以辨識當事人同一性及確認甲方意思 表示之方式代之，
無須使用簽帳單或當場簽名。

甲方有為前項交易時，不得以未簽名為理由，作為拒繳應付款項之 抗辯。

--

--