作者lcloud (嚕先生)
看板Soft_Job
標題Re: [討論] 是銀行安全性有問題嗎
時間Wed Feb 10 22:46:50 2021
我沒有用richart,有點難想像richart轉帳不需要OTP。
可否請問richart可以用OTP綁定特定手機,
之後在綁定的手機上進行非約轉都不需要再用OTP驗證一次?
如果真的是這樣,這個情況有點有趣,這個機制不能說違反安控基準,但安全性相對較低吧。
如果"每一次"非約轉都必須要做一次OTP驗證,加上非約轉的單筆/每日限額,
要騙到幾十萬,對END USER來說,是滿誇張的 (一直操作OTP都不會覺得奇怪?)
但若只要騙到一次OTP進行裝置綁定,門檻就降低很多,畢竟網站做的跟真的一樣,
一般民眾根本不會去看domain name,也看不懂domain name的差異。
好多年前銀行公會有要求各銀行要去"管理"有沒有冒名自己的釣魚網站,
站在銀行的角度,我是覺得很扯,到底要怎樣才能去主動發現釣魚網站。
可是如果是銀行自己把安全機制設計的比較差,難道完全沒有責任,都是民眾的責任嗎?
符合安控基準應該只是電子銀行的最低標準,而非最高標準吧
※ 引述《ripple0129 (perry tsai)》之銘言:
: 整個流程是這樣
: 受害者到釣魚網站輸入帳密
: 釣魚網站馬上到真實銀行輸入帳密
: 這時候就會發OTP簡訊到受害者手機
: 受害者在釣魚網站輸入OTP
: 釣魚網站等同也拿到OTP能登入了
: 整個最大的問題是
: 為什麼每一筆轉帳沒有OTP
: 這是Richard的問題了
: 基本上我使用的銀行
: 每次轉帳都是需要再輸入OTP的
: 不過要Richard賠有點難
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.169.91.57 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1612968412.A.107.html
→ petercoin: 兆豐也沒OTP... 02/10 23:04
→ ssccg: 符合安控其實是很高的標準了,只是一般民眾的一點小錢只算 02/11 01:42
→ ssccg: 低風險,寧可方便就好 02/11 01:43
推 now99: User責任在單筆轉帳五萬,畢竟帳號密碼一次OTP都給出去了, 02/11 02:56
→ now99: 但是暴衝到四十萬這三十五萬差距是驗證機制設計瑕疵,台新 02/11 02:56
→ now99: 要付很大的責任,現在上新聞這五萬是不是也凹台新吞了xd 02/11 02:56
推 now99: 而且還攻破轉帳限額單月二十萬,只因為限額by 帳戶不是by U 02/11 02:59
→ now99: serId xddd 02/11 02:59
推 now99: 還好不是再跨月攻擊,不然可以爆衝到八十萬 02/11 03:01
推 brianhsu: 其實滿多沒 OTP 的,合庫也沒 OTP... 02/11 08:06
推 shingatter: 手機綁定加生物辨識就不用otp啦 02/11 10:15
推 now99: 生物辨識間接驗證無法綁定手機,要過一次電信通路 02/11 13:26
→ now99: 目前好的解法就是走 mobile id 或 aotp 02/11 13:26
→ now99: 走 PKI 或 FIDO 也是一樣問題 02/11 13:27
推 sunpc: FIDO UAF還是fishable, 要FIDO U2F或FIDO2才是射進來阻止 02/12 20:32
→ sunpc: 釣魚網站攻擊 02/12 20:32
→ sunpc: ...設計來....orz 02/12 20:32