刊物與研究資料

年報
貨幣與金融穩定情況半年度報告
季報
金管局資料簡介
參考資料
研究資料
貨幣與金融穩定情況半年度報告
研究備忘錄
不定期論文
研究札記
研究概要
中國經濟專題研究
香港金融研究中心
外界出版的研究
93.747

觀點

雙重認證

本周初金管局與香港銀行公會宣布就高風險的零售網上銀行交易推出雙重認證。

讀者最近可能會收到銀行來信邀請他們申請雙重認證,以供進行高風險的零售網上銀行交易。這項保安措施的推出是網上銀行的重要發展里程,我們希望可藉此打擊愈來愈常出現的網上銀行詐騙活動。

在2003年6月我們第一次收到有關以本港市民作招徠目標的偽冒銀行網站的報告,其後很快又收到虛假電郵的報告,當中的電郵所附的超連結會將銀行客戶接連至偽冒的銀行網站。這些較早期的個案不難應付,原因是偽冒的登入網頁沒有保安扣鎖或電子證書,我們與銀行的工作因此主要集中於提醒銀行客戶小心注意銀行網站這些重要的保安措施。

其後新的詐騙技倆陸續出現。例如,騙徒甚至可以偽冒網站的保安扣鎖及電子證書資料,亦會將特洛伊軟件暗中植入受害人的個人電腦內,再竊取用戶按鍵的記錄以進行勾當。有見及此,我們教育工作的重點已轉向強調裝設防病毒軟件及個人防火牆的重要,以防銀行客戶的個人電腦受襲。

由於行騙手法層出不窮,單靠核實登入名稱與密碼及教育消費者已不足夠,銀行界於是在2004年6月達成普遍共識,確定雙重認證是適當的對策。所謂「道高一尺,魔高一丈」,不法之徒總可找到繞過認證系統的新方法,我們要物色既可防干擾又萬無一失的雙重認證方法,並不容易。但本港銀行界現已認定三種相信是既有效又簡單易用的雙重認證方法:

  • 不可複製的電子證書 – 在進行網上交易時用來核實身分的電子證書,並儲存於安全的工具或設施內(如香港智能身分證或電子鑰匙);
smartcard
  • 由保安顯示器發出只用一次的密碼 – 每個密碼只可使用一次,並會在短時間內失效。
token
  • 通過手機短訊發出只用一次的密碼 – 銀行向客戶的手提電話發出只可使用一次的短訊密碼,作為額外核證之用,以便確認高風險交易等。
mobile

有關雙重認證的更多資料,可瀏覽金管局網站(www.hkma.gov.hk)及香港銀行公會網站(www.hkab.org.hk),或親臨金管局資訊中心,以參閱有關單張及互動式電腦遊戲。市民亦可向開戶銀行進一步查詢。

據我們了解,全球多個地區的銀行監管機構正在評估網上銀行騙案的影響,並徵詢當地銀行界對網上銀行交易採用雙重認證的意見。香港是全球最先推行這項保安措施的金融市場之一,此舉應有助確保本港網上銀行能繼續在安全穩妥的環境下運作。

 

任志剛

2005年6月2日

 

有關《觀點》文章:

 

有關新聞稿:

 

有關資料:

網上銀行 -- 雙重認證

 

此處可參閱本專欄過往的文章。

Word 格式的文件

修訂日期: 2011年8月1日
關於金管局
金管局
招標公告
人力資源
立法會事務
相關網站
金管局資訊中心
主要職能
貨幣穩定
銀行體系穩定
國際金融中心
外匯基金
刊物與研究資料
年報
貨幣與金融穩定情況半年度報告
季報
金管局資料簡介
參考資料
研究資料
市場數據與統計資料
債務工具中央結算系統債券報價網站
香港的經濟及
金融數據
金融數據月報
金融數據
主要資訊
新聞稿
演講辭
指引及通告
最新動向
匯思
小森阿四專欄
其他資訊
其他語言資料(印尼語, हिन्दी, नेपाली, ਪੰਜਾਬੀ, 他加祿語, ไทย, اردو)
開戶難?
消費者資訊專區
消費者教育推廣計劃
有關銀行產品或服務的投訴
有關儲值支付工具持牌人的投訴
網上銀行
欺詐銀行網站、偽冒電郵及類似的詐騙事件
小心偽冒來電及手機短訊 核實來電者身份及銀行熱線號碼
認可機構及本地代表辦事處紀錄冊
(繁體版本)
認可機構證券業務員工紀錄冊
(繁體版本)
儲值支付工具持牌人紀錄冊
與雷曼兄弟相關的投資產品
圖片廊