※ 引述《tn915694 (Nemo)》之銘言： 直接回應一下好了... : 您的 卡片資料+個資 在銀行內是管制資料 是可以解碼的加密資料.. : (有些單位甚至不去做加密動作 只是一般管制資料) : 簡單說 就是有權限的人就可以取得 : 然而一般為了讓客服可以方便運做 : 所以只要一個客服就可以輕易取得您的所有卡片資料 : 這裡面包含了 卡號 後三碼 到期日 帳單日 額度 等等等 : 為了確認你身分 所以他們也可以輕鬆取得您的 個人資料 生日 出生地 電話 等等等 : 所以 這部分的資料 是一點都不安全的! 相較是容易入侵的! (甚至是買得到的!!!) : 也就是有權限的人可以下載一切資料... : 之前才會有行員大量外流卡片個資的事件... : !!然而 要開啟3D 也僅僅需要上述不到一半的資料... : : 另外~ 您的3D密碼 是完全加密的資料 就算擁有再高權限也是無法取得.. : 簡單講 就是連儲存你密碼的電腦本身 也不知道你原本密碼是多少!! : 聽起來很不可思議?? 其實很簡單 至於怎麼運做.. 解釋起來很複雜.. : 請自己研讀資安方面相關的文章吧~ : 所以 這部分的資料是絕對安全的.. : 就算銀行端全被入侵 他還是不知道你密碼是啥.... : 所以當你密碼忘記 全世界也救不了你... : 你只能很麻煩的重設密碼... .. . 你如果要討論到銀行監守自盜的這個層面，那永遠都討論不完了。 照你所說的，如果你沒設密碼，一個客服就可以偷你的個資， 然後幫你註冊是吧。 你以為你有設密碼，一個客服就可以偷你的個資卻沒有辦法幫你註冊？ 了不起就是多一個叫朋友打電話請客服回復成未註冊狀況，有差很多嗎？ 就為了這個讓歹徒多花叫一個朋友打電話請客服回復未註冊狀況的時間， 我要賠上 100% 的責任歸屬？..對不起，我不幹... : : 所以當 3D密碼 與 "個人+卡片資料" 做比較 : 3D密碼保存的安全性是遠遠遠遠高於 卡片+個人資料的... 銀行端真有內賊要搞你，你怎麼防都是一樣。 如果不是內賊，那麼駭客( or 不肖網站)不但要拿得到你的密碼， 還要拿得到一般不會輸入的資料像額度或是帳單日。 但是如果你先把駭客設置好密碼了， 人家就算取不到你的個資照樣可以通過 3D 認證盜刷你的卡。 怎麼個遠遠遠遠高於我還真的是看不出來。 : 所以"假設前提".."如果被盜開啟並"透過3D交意" 一樣要負100%的責任"的條件下 : ... : 不開啟3D不等於安全... : 強調"開3D用完後又關閉" 這點才真正更讓人擔憂!! : 前者) 你的卡片資料 個人資料容易取得 不開啟3D不見得比較安全 : 後者) 當你第一次開啟3D時 你的資料就已經在電腦上輸入了 : 當你又傻傻的RESET他 我就可以拿你上次的資料再次幫你開啟 : (假設你電腦本來就有木馬.) : 所以如果上訴責任成立.. : 聽從建議一直把3D開開關關的動作 這點才真正讓人擔憂! : 另外也強調一點 3D不開或許不等於安全(可能要洽詢銀行相關條款規定) : 姑且不論你的額度和帳單消費日這種一般不會輸入的資料， 你的容易取得是怎麼來的。 如果你本來都沒有申請 3D 認證過駭客還得要多花時間拿你的個資， 結果聽你的話申請過 3D 認證過了， 有 RESET 駭客可以拿上次的資料再次開啟， 沒有 RESET 駭客直接拿密碼幫你開啟，還可以幫你改密碼喔.. 有沒有 RESET 差在哪裡？我很好奇。 ---------------------------------------------------------- 所以我是建議大家，沒開過 3D 認證的卡就連一次都不要開了， 有開過的就像其他版友建議的，有使用過後就取消註冊。 這樣做至少有一個好處，你的銀行不提供像中信一樣的簡訊 OTP， 你可以自己讓每次的密碼都是手動 OTP，跟簡訊 OTP 效果一樣棒喔！ : 所以這下光是銀行提供3D這東西就令人很頭痛.. : 只能說還好手邊要馬不是OTP 要馬就是完全沒3D的卡 : 也希望各間銀行快點把你們的3D制度搞好!!! : 趁還沒有人受害前 把3D拿掉 或者快點把系統弄完善吧!!! : 以上~ : 這段是我唯一同意你的話了... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.39.142.49 看來你不懂我在寫什麼... 我要是真要搞你的銀行內賊，就算你有設密碼，只要我取得了你的個資， 叫一個朋友隨便打電話進來(真要是我接到了算我衰，應該沒人那麼笨)， 然後用已經取得了的個資將現有密碼回復成未註冊狀態即可。 然後你怎麼想像沒設密碼時會有什麼風險就是怎麼樣囉。 請問，如果以你的銀行內賊論來說，有沒有設定好密碼有差嗎？.. 除非每個客服都知道每個客戶的聲音，然後客戶當天還不能感冒這樣。 如果沒有差，為什麼我要去冒個負 100% 責任的這種無理的風險。 比較麻煩+難？..又降低了什麼風險？一個真有心要搞你的人， 請一個朋友打電話進來用你的個資將 3D 認證回覆成未註冊狀態， 是比較麻煩+難到哪裡去？..了不起就是多花個十分鐘(還含接通客服時間喔)， 為了要讓這種有心人士多花 10 分鐘， 你要讓你自己陷入被盜刷就得負 100% 責任的風險，會不會太好笑？ 我說， 3D 認證本來就兩道關卡， 一道是用一般比較不容易拿到的個資來做密碼設定， 一道是在網路消費時多一個密碼設定。 客服要賣你的個資，不見得是要拿來盜刷你的卡 駭客要盜你的密碼，卻不見得有你的個資可以先幫你開 3D 認證。 在未開啟的狀態，要客服和駭客同時是一人才有辦法， 卻有人在那裡嚷嚷著銀行可能有內賊喔，要先開好 3D 才安全喔。 結果差異是讓對方花差不到十分鐘(視客服接通速度)的時間，結果完全一樣。 但是前者的負擔責任比例卻是要 100% ！！？ 都已經舉實例讓大家包含你瞭解差異不大了， 你還好意思說出這樣子會讓不肖人士比較麻煩+難？還有降低了風險？ 你是以為這些不肖客服都沒朋友可以幫忙打電話， 還是窮到都沒電話可以做這件事所以很難呀！？ 最後還是一樣建議大家： (1) 沒開過 3D 認證的卡片，在沒有非必要的情況下連一次都不要開 (2) 開過 3D 認證的卡片，請盡快要求客服回復成未註冊狀態 (3) 每次使用完 3D 認證，立刻再致電請客服回復成未註冊狀態， 銀行不給你簡訊 OTP，我們自己手動 OTP！ ※ 編輯: DSNT 來自: 122.121.23.16 (09/15 08:46)