國泰世華─認證密碼鎖OTP 預購送轉帳免費 - 銀行

※ 引述《TZUYIC (Je T'aime Celine)》之銘言：
: 標題: [情報] 國泰世華─認證密碼鎖OTP 預購送轉帳免費
: 時間: Sat Sep 22 18:29:17 2012
:
: 國泰世華網路銀行即將推出非約定轉帳服務，可是…要錢，而且還不便宜，怎麼這樣呀！
: 為何不用簡訊動態密碼（簡訊OTP）或金融卡驗證機制，一樣很安全，重點是對客戶來說
: 比較便宜啊～ Orz
: 國泰世華出的這個認證密碼鎖OTP超大臺的，比渣打密碼保鑣或滙豐加密小精靈還大支。
:
: 活動網頁：http://tinyurl.com/8rmlzs9
:
: 推 gottsuan:這個產生OTP時可以有密碼保護 還有OTP可以簽交易資訊 09/23 15:02
: → gottsuan:比只有單鍵的安全很多 HSBC最就一兩年也逐步全換成這種了 09/23 15:03
: → gottsuan:單鍵OTP不能簽交易資訊的OTP不夠安全 不能防中間人和木馬 09/23 15:04
: → gottsuan:作假交易 要可以簽交易資訊的OTP才能防 09/23 15:04
: 推 gottsuan:簽交易資訊就是你在產生OTP時先輸入交易帳號密碼之類的 09/23 15:43
: → gottsuan:產生出來的動態密碼和你輸入的帳號金額有關 這樣就算OTP 09/23 15:43
: → gottsuan:被中間人或木馬偷走拿去用 因為這個OTP只適用特定一筆交 09/23 15:44
: → gottsuan:意 所以拿去用在假交易驗證會失敗 09/23 15:44
: → gottsuan:如果是單純的OTP OTP被中間人木馬偷走 拿去用在他作的假 09/23 15:44
: → gottsuan:交易驗證會成功 因為OTP本身是對的 09/23 15:45
: → gottsuan:手誤 是說書入交易帳號金額等和交易直接相關的資訊 09/23 15:45
: → gottsuan:其實現在網銀也有不少中間人 木馬程式作假交易偷錢的案例 09/23 15:49
: → gottsuan:所以才有愈來愈多銀行用這種OTP產生器 09/23 15:50

簡訊OTP真的不安全?
假設我 10:00 做了一筆 1 萬元的交易 A,
銀行端傳了一封簡訊OTP X 過來(時效300秒)

並且在 10:02 又做了一筆 2 萬元的交易 B,
銀行端傳了一封簡訊OTP Y 過來(時效300秒)

請問:
我可以用 "簡訊OTP Y" 去執行 "交易 A" 嗎?
或是我可以用 "簡訊OTP X" 去執行 "交易 B" 嗎?

如果可以, 那簡訊OTP就真的有被中間人偷走的可能~
如果不行, 那就算簡訊OTP被中間人偷走, 不也是無法交易?

--