雙重認證

匯思

2005年06月02日

雙重認證

本周初金管局與香港銀行公會宣布就高風險的零售網上銀行交易推出雙重認證。

讀者最近可能會收到銀行來信邀請他們申請雙重認證,以供進行高風險的零售網上銀行交易。這項保安措施的推出是網上銀行的重要發展里程,我們希望可藉此打擊愈來愈常出現的網上銀行詐騙活動。

在2003年6月我們第一次收到有關以本港市民作招徠目標的偽冒銀行網站的報告,其後很快又收到虛假電郵的報告,當中的電郵所附的超連結會將銀行客戶接連至偽冒的銀行網站。這些較早期的個案不難應付,原因是偽冒的登入網頁沒有保安扣鎖或電子證書,我們與銀行的工作因此主要集中於提醒銀行客戶小心注意銀行網站這些重要的保安措施。

其後新的詐騙技倆陸續出現。例如,騙徒甚至可以偽冒網站的保安扣鎖及電子證書資料,亦會將特洛伊軟件暗中植入受害人的個人電腦內,再竊取用戶按鍵的記錄以進行勾當。有見及此,我們教育工作的重點已轉向強調裝設防病毒軟件及個人防火牆的重要,以防銀行客戶的個人電腦受襲。

由於行騙手法層出不窮,單靠核實登入名稱與密碼及教育消費者已不足夠,銀行界於是在2004年6月達成普遍共識,確定雙重認證是適當的對策。所謂「道高一尺,魔高一丈」,不法之徒總可找到繞過認證系統的新方法,我們要物色既可防干擾又萬無一失的雙重認證方法,並不容易。但本港銀行界現已認定三種相信是既有效又簡單易用的雙重認證方法:

  • 不可複製的電子證書 – 在進行網上交易時用來核實身分的電子證書,並儲存於安全的工具或設施內(如香港智能身分證或電子鑰匙);
smartcard
  • 由保安顯示器發出只用一次的密碼 – 每個密碼只可使用一次,並會在短時間內失效。
token
  • 通過手機短訊發出只用一次的密碼 – 銀行向客戶的手提電話發出只可使用一次的短訊密碼,作為額外核證之用,以便確認高風險交易等。
mobile

有關雙重認證的更多資料,可瀏覽金管局網站(www.hkma.gov.hk)及香港銀行公會網站(www.hkab.org.hk),或親臨金管局資訊中心,以參閱有關單張及互動式電腦遊戲。市民亦可向開戶銀行進一步查詢。

據我們了解,全球多個地區的銀行監管機構正在評估網上銀行騙案的影響,並徵詢當地銀行界對網上銀行交易採用雙重認證的意見。香港是全球最先推行這項保安措施的金融市場之一,此舉應有助確保本港網上銀行能繼續在安全穩妥的環境下運作。

 

任志剛

2005年6月2日

 

有關《觀點》文章:

 

有關新聞稿:

 

有關資料:

網上銀行 -- 雙重認證

 

此處可參閱本專欄過往的文章。

Word 格式的文件

最新匯思
修訂日期 : 2005年06月02日