Re: [討論] 是銀行安全性有問題嗎
我沒有用richart,有點難想像richart轉帳不需要OTP。
可否請問richart可以用OTP綁定特定手機,
之後在綁定的手機上進行非約轉都不需要再用OTP驗證一次?
如果真的是這樣,這個情況有點有趣,這個機制不能說違反安控基準,但安全性相對較低吧。
如果"每一次"非約轉都必須要做一次OTP驗證,加上非約轉的單筆/每日限額,
要騙到幾十萬,對END USER來說,是滿誇張的 (一直操作OTP都不會覺得奇怪?)
但若只要騙到一次OTP進行裝置綁定,門檻就降低很多,畢竟網站做的跟真的一樣,
一般民眾根本不會去看domain name,也看不懂domain name的差異。
好多年前銀行公會有要求各銀行要去"管理"有沒有冒名自己的釣魚網站,
站在銀行的角度,我是覺得很扯,到底要怎樣才能去主動發現釣魚網站。
可是如果是銀行自己把安全機制設計的比較差,難道完全沒有責任,都是民眾的責任嗎?
符合安控基準應該只是電子銀行的最低標準,而非最高標準吧
※ 引述《ripple0129 (perry tsai)》之銘言:
: 整個流程是這樣
: 受害者到釣魚網站輸入帳密
: 釣魚網站馬上到真實銀行輸入帳密
: 這時候就會發OTP簡訊到受害者手機
: 受害者在釣魚網站輸入OTP
: 釣魚網站等同也拿到OTP能登入了
: 整個最大的問題是
: 為什麼每一筆轉帳沒有OTP
: 這是Richard的問題了
: 基本上我使用的銀行
: 每次轉帳都是需要再輸入OTP的
: 不過要Richard賠有點難
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.169.91.57 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1612968412.A.107.html
→
02/10 23:04,
3年前
, 1F
02/10 23:04, 1F
→
02/11 01:42,
3年前
, 2F
02/11 01:42, 2F
→
02/11 01:43,
3年前
, 3F
02/11 01:43, 3F
推
02/11 02:56,
3年前
, 4F
02/11 02:56, 4F
→
02/11 02:56,
3年前
, 5F
02/11 02:56, 5F
→
02/11 02:56,
3年前
, 6F
02/11 02:56, 6F
推
02/11 02:59,
3年前
, 7F
02/11 02:59, 7F
→
02/11 02:59,
3年前
, 8F
02/11 02:59, 8F
推
02/11 03:01,
3年前
, 9F
02/11 03:01, 9F
推
02/11 08:06,
3年前
, 10F
02/11 08:06, 10F
推
02/11 10:15,
3年前
, 11F
02/11 10:15, 11F
推
02/11 13:26,
3年前
, 12F
02/11 13:26, 12F
→
02/11 13:26,
3年前
, 13F
02/11 13:26, 13F
→
02/11 13:27,
3年前
, 14F
02/11 13:27, 14F
推
02/12 20:32,
3年前
, 15F
02/12 20:32, 15F
→
02/12 20:32,
3年前
, 16F
02/12 20:32, 16F
→
02/12 20:32,
3年前
, 17F
02/12 20:32, 17F
討論串 (同標題文章)