幾年前發生過數宗網上銀行失竊事件，銀行界極度恐慌，認為網上保安有嚴重問題。當時大家都 對互聯網私隱有疑慮，認為一切措施都有漏洞；其實大部份情況是用者不小心將私隱洩露，或是其所用密碼被輕易猜到。但銀行網上保安因此回歸石器時代，人人要攜帶一個密碼產生器 Token。其理論是網上密碼是你所知道的網上保密方法，而 Token 卻是你手持的保密器具；因兩者並不互通，網上竊匪不容易兩者皆得到。Token 一事越攪越複雜，超越擾民的程度。這個情況我在2005年時已預料，請看看我幾年前寫的博文。 究竟 Token 令人討厭到什麼程度？可以看看下面我的一部份 Token。要找出那一個是正確的 Token來用已經是一件麻煩事。 不久之前，神話終於破滅。新聞報導有網上竊匪可以截取 Token的密碼而犯案。原來人人攜帶的 Token並不完全安全；銀行用了不少資源去購買、分發、保養 Token，又要提升電腦程式去處理 Token密碼，全體客戶都要攜帶 Token；一切功夫原來都是白費。我幾個月前寫過一篇博文評論這事件，提醒大家要小心。 好消息終於來了。經多番投訴和解釋，銀行終於清醒，知道 Token對客戶造成滋擾和有保安假象。有銀行剛推出新的保安方法，可以不再使用 Token。其方法是使用第二密碼，而這個第二密碼並不需要客戶全部輸入，只是隨機輸入密碼的某幾個位置。這個方法可以避免一些木馬程式截取完整的密碼數據，比使用 Token方便而有效得多。銀行更加入數條保安問答題，由客戶自訂答案，以便在有懷疑的情況時再加強核實程序。雖然這仍然不是一個萬無一失的保安方法，但比對起 Token已是一大德政。希望這些新保安方法可以很快被廣泛接納，Token從此成為歷史。