我沒有用richart，有點難想像richart轉帳不需要OTP。 可否請問richart可以用OTP綁定特定手機， 之後在綁定的手機上進行非約轉都不需要再用OTP驗證一次? 如果真的是這樣，這個情況有點有趣，這個機制不能說違反安控基準，但安全性相對較低吧。 如果"每一次"非約轉都必須要做一次OTP驗證，加上非約轉的單筆/每日限額， 要騙到幾十萬，對END USER來說，是滿誇張的 (一直操作OTP都不會覺得奇怪?) 但若只要騙到一次OTP進行裝置綁定，門檻就降低很多，畢竟網站做的跟真的一樣， 一般民眾根本不會去看domain name，也看不懂domain name的差異。 好多年前銀行公會有要求各銀行要去"管理"有沒有冒名自己的釣魚網站， 站在銀行的角度，我是覺得很扯，到底要怎樣才能去主動發現釣魚網站。 可是如果是銀行自己把安全機制設計的比較差，難道完全沒有責任，都是民眾的責任嗎? 符合安控基準應該只是電子銀行的最低標準，而非最高標準吧 ※ 引述《ripple0129 (perry tsai)》之銘言： : 整個流程是這樣 : 受害者到釣魚網站輸入帳密 : 釣魚網站馬上到真實銀行輸入帳密 : 這時候就會發OTP簡訊到受害者手機 : 受害者在釣魚網站輸入OTP : 釣魚網站等同也拿到OTP能登入了 : 整個最大的問題是 : 為什麼每一筆轉帳沒有OTP : 這是Richard的問題了 : 基本上我使用的銀行 : 每次轉帳都是需要再輸入OTP的 : 不過要Richard賠有點難 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.169.91.57 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1612968412.A.107.html