[討論] 網銀OTP驗證的安全性

Sophia860212 發表於 2021/4/12 下午6:07:42

看板Bank_Service標題[討論] 網銀OTP驗證的安全性作者

(蘇菲亞)時間Apr 12 18:07:42 2021推噓13 推:13 噓:0 →:45

一直以來覺得網銀轉帳有兩道防護很安全，即使知道帳號密碼也不會被盜轉，但是今天發現從new new bank就能改掉手機號碼，而且不會發送任何驗證，只要登入到個人資料就能修改了，那這樣OTP驗證碼感覺就沒什麼用了，只要有帳號密碼就能改掉手機號碼，接下來的OTP驗證碼就發送到新的手機號碼。

感覺要改個人資料應該要有OTP驗證，而不是直接就能改。

※ PTT 留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 121.117.71.192 (日本)

※ PTT 網址

推

now9904/12 19:11otp不安全，用app綁定信任裝置走推播驗證安全高一點，上次

→

now9904/12 19:11台新盜轉是簡訊otp還有人的問題

推

sakuralty04/12 19:44想請問更改手機號碼，也沒有通知嗎？如果連這個也沒有

→

sakuralty04/12 19:44，那又更恐怖了

有簡訊通知但是意義不是很大，因為如果半夜被盜等看到簡訊也來不及了。

→

boogieman04/12 19:58new new bank 的問題不用一竿子打翻所有OTP驗證吧?

→

boogieman04/12 19:58家裡大門沒裝鎖然後怪門鎖沒用?

→

boogieman04/12 19:58奇葩

推

vyvian04/12 20:36如果你改門號了那OTP驗證就是一場災難

→

vyvian04/12 20:36可開放用自然人憑證驗證來修改手機號碼

推

abccbaandy04/12 20:381F，APP綁定的流程87%也是有問題的...沒比較好

→

abccbaandy04/12 20:39試過登入就綁了，頂多OTP再驗一下，所以安全性差不多

→

abccbaandy04/12 20:40目前最好的方式就是google auth那種，便利安全都還行

→

abccbaandy04/12 20:40可惜台灣的銀行都自己搞一套...

推

now9904/12 21:28google aith 的演算法可以被中間人攻擊知道嗎，除非有走ocr

→

now9904/12 21:28a演算法簽證交易資料

推

now9904/12 21:29google auth

推

Janius04/12 21:31有些銀行OTP電話跟個人資料電話不同欄位，OTP電話沒辦法線

→

Janius04/12 21:31上改，不確定new new bank是不是

new new bank的個人資料手機號碼改了之後，OTP就是傳送到新的手機號碼了，改手機號碼不用簡訊驗證碼，richart也是，應該也很多是這樣，有些是要到ATM插卡更改手機號碼。我是覺得要改個人資料比如手機號碼、地址至少要發送簡訊驗證碼到原有的手機號碼驗證。

※ 編輯: Sophia860212 (121.117.71.192 日本), 04/12/2021 22:25:08 ※ 編輯: Sophia860212 (121.117.71.192 日本), 04/12/2021 22:26:50 ※ 編輯: Sophia860212 (121.117.71.192 日本), 04/12/2021 22:28:42

→

cityport04/13 00:01除了Android可以登入chrome收簡訊,還有其他方法攔截簡訊

→

cityport04/13 00:03OTP安全性漏洞不小,APP可以同時驗證手機跟電話號碼

→

cityport04/13 00:04安全性比OTP好很多

→

jiun113504/13 00:53昨天去彰銀升權，行員說上次盜轉是點連結進網銀，而非像

→

jiun113504/13 00:54新聞寫的是被植木馬及簡訊驗證攔截，說法不同讓人更害怕

→

jiun113504/13 00:57OTP是否安全。另外在永豐等簡訊驗證也是等超久，以為出

→

jiun113504/13 00:58問題了

推

vyvian04/13 02:28改手機不可能要用原本的門號驗證，如果預付卡失效或各種

→

vyvian04/13 02:28原因導致原門號無法使用，不就無法更改號碼了

→

vyvian04/13 02:29用自然人憑證或晶片金融卡驗證比較實際

推

taipoo04/13 05:33確實銀行是可以再增加更多限制的

推

realbout04/13 08:40用金融卡或自然人憑證也不是每個人都可行，有些金融卡被

→

realbout04/13 08:40鎖的，沒申請金融卡或自人然憑證的也是麻煩反正要安全

→

realbout04/13 08:40就是麻煩，要方便就是會有漏洞...方便與安全永遠不會有

→

realbout04/13 08:40交集...

推

Or304/13 10:07登入chrome收簡訊是有把簡訊設定連結到google帳戶吧？我

→

Or304/13 10:07沒這樣設定是完全看不到的

→

bitlife04/13 10:19比較適合手機網銀/app的模式應該是最初申請時應該用app撥

→

bitlife04/13 10:20通客服視訊留影像及聲音記錄,要更換手機也走同樣方式才能

→

bitlife04/13 10:20更動,當然可能又會有隱私與方便的爭議,但是都想要就自行

→

bitlife04/13 10:21申請放棄安全性,被盜用一切後果自負,就可放寬所有限制

→

bitlife04/13 10:22只有遺失才需要走視訊,這和掉信用卡一樣可以最緊急的通道

→

bitlife04/13 10:23,由專門客服處理,其他只是想換門號的,就只需要用舊門號認

→

bitlife04/13 10:23證新門號即可更換

推

Or304/13 10:38不過我前幾天手機恢復原廠設定重新下載app richart跟中信a

→

Or304/13 10:38pp是需要金融卡驗證的喔

→

Or304/13 10:38如果已經綁定裝置更改手機號碼不會驗證是正常的吧

→

angel90203704/13 11:02有些銀行改手機號碼，是你親自到分行辦理

→

angel90203704/13 11:03或是去ATM插卡，進ATM更改

推

go171704/13 21:29建議增加下面的綁定驗證：Google Authenticator 或者是

→

go171704/13 21:29Microsoft Authenticator

→

stanwu04/13 23:44OTP收簡訊跟App同樣一支手機，基本上並不能真的算是2FA...

→

lf2net458904/14 09:34回22樓，行員說的是前後兩次事件，被植入木馬接收驗證

→

lf2net458904/14 09:34簡訊的事情是台哥大貼牌手機搞出來的，最近一次是釣魚

→

lf2net458904/14 09:34簡訊騙到帳號密碼

→

jiun113504/14 15:26回51樓，原來如此，我是看到iphone被盜26萬跟百萬的新

→

jiun113504/14 15:26聞，手機中毒被攔截簡訊。行員是說只要用銀行的app跟網

→

jiun113504/14 15:26銀是安全的，別亂點。

→

jiun113504/14 15:38考慮到自己無非約轉需求，網銀就只開約定，要非約轉就

→

jiun113504/14 15:38atm轉，只是麻煩點

其他人也閱讀了

PTT 熱門相關