The reading notes record thoughts from things I read. 這網誌是我的一些閱讀後的思考和摘要記錄。My website 我的網頁: http://raympoon.playgroundhk.com

網上銀行保安新措施

幾年前發生過數宗網上銀行失竊事件,銀行界極度恐慌,認為網上保安有嚴重問題。當時大家都 對互聯網私隱有疑慮,認為一切措施都有漏洞;其實大部份情況是用者不小心將私隱洩露,或是其所用密碼被輕易猜到。但銀行網上保安因此回歸石器時代,人人要攜帶一個密碼產生器 Token。其理論是網上密碼是你所知道的網上保密方法,而 Token 卻是你手持的保密器具;因兩者並不互通,網上竊匪不容易兩者皆得到。Token 一事越攪越複雜,超越擾民的程度。這個情況我在2005年時已預料,請看看我幾年前寫的博文

究竟 Token 令人討厭到什麼程度?可以看看下面我的一部份 Token。要找出那一個是正確的 Token來用已經是一件麻煩事。

tokens.jpg

不久之前,神話終於破滅。新聞報導有網上竊匪可以截取 Token的密碼而犯案。原來人人攜帶的 Token並不完全安全;銀行用了不少資源去購買、分發、保養 Token,又要提升電腦程式去處理 Token密碼,全體客戶都要攜帶 Token;一切功夫原來都是白費。我幾個月前寫過一篇博文評論這事件,提醒大家要小心。

好消息終於來了。經多番投訴和解釋,銀行終於清醒,知道 Token對客戶造成滋擾和有保安假象。有銀行剛推出新的保安方法,可以不再使用 Token。其方法是使用第二密碼,而這個第二密碼並不需要客戶全部輸入,只是隨機輸入密碼的某幾個位置。這個方法可以避免一些木馬程式截取完整的密碼數據,比使用 Token方便而有效得多。銀行更加入數條保安問答題,由客戶自訂答案,以便在有懷疑的情況時再加強核實程序。雖然這仍然不是一個萬無一失的保安方法,但比對起 Token已是一大德政。希望這些新保安方法可以很快被廣泛接納,Token從此成為歷史。