PTT評價

Re: [討論] 是銀行安全性有問題嗎

看板Soft_Job標題Re: [討論] 是銀行安全性有問題嗎作者
lcloud
(嚕先生)
時間推噓 7 推:7 噓:0 →:10

我沒有用richart,有點難想像richart轉帳不需要OTP。

可否請問richart可以用OTP綁定特定手機,

之後在綁定的手機上進行非約轉都不需要再用OTP驗證一次?



如果真的是這樣,這個情況有點有趣,這個機制不能說違反安控基準,但安全性相對較低吧。

如果"每一次"非約轉都必須要做一次OTP驗證,加上非約轉的單筆/每日限額,

要騙到幾十萬,對END USER來說,是滿誇張的 (一直操作OTP都不會覺得奇怪?)

但若只要騙到一次OTP進行裝置綁定,門檻就降低很多,畢竟網站做的跟真的一樣,

一般民眾根本不會去看domain name,也看不懂domain name的差異。



好多年前銀行公會有要求各銀行要去"管理"有沒有冒名自己的釣魚網站,

站在銀行的角度,我是覺得很扯,到底要怎樣才能去主動發現釣魚網站。




可是如果是銀行自己把安全機制設計的比較差,難道完全沒有責任,都是民眾的責任嗎?

符合安控基準應該只是電子銀行的最低標準,而非最高標準吧




※ 引述《ripple0129 (perry tsai)》之銘言:
: 整個流程是這樣
: 受害者到釣魚網站輸入帳密
: 釣魚網站馬上到真實銀行輸入帳密
: 這時候就會發OTP簡訊到受害者手機
: 受害者在釣魚網站輸入OTP
: 釣魚網站等同也拿到OTP能登入了
: 整個最大的問題是
: 為什麼每一筆轉帳沒有OTP
: 這是Richard的問題了
: 基本上我使用的銀行
: 每次轉帳都是需要再輸入OTP的
: 不過要Richard賠有點難

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.169.91.57 (臺灣)
PTT 網址

petercoin02/10 23:04兆豐也沒OTP...

ssccg02/11 01:42符合安控其實是很高的標準了,只是一般民眾的一點小錢只算

ssccg02/11 01:43低風險,寧可方便就好

now9902/11 02:56User責任在單筆轉帳五萬,畢竟帳號密碼一次OTP都給出去了,

now9902/11 02:56但是暴衝到四十萬這三十五萬差距是驗證機制設計瑕疵,台新

now9902/11 02:56要付很大的責任,現在上新聞這五萬是不是也凹台新吞了xd

now9902/11 02:59而且還攻破轉帳限額單月二十萬,只因為限額by 帳戶不是by U

now9902/11 02:59serId xddd

now9902/11 03:01還好不是再跨月攻擊,不然可以爆衝到八十萬

brianhsu02/11 08:06其實滿多沒 OTP 的,合庫也沒 OTP...

shingatter02/11 10:15手機綁定加生物辨識就不用otp啦

now9902/11 13:26生物辨識間接驗證無法綁定手機,要過一次電信通路

now9902/11 13:26目前好的解法就是走 mobile id 或 aotp

now9902/11 13:27走 PKI 或 FIDO 也是一樣問題

sunpc02/12 20:32FIDO UAF還是fishable, 要FIDO U2F或FIDO2才是射進來阻止

sunpc02/12 20:32釣魚網站攻擊

sunpc02/12 20:32...設計來....orz