一次性密碼OTP的弱點(方保僑)
網上購物已成為大眾生活不可或缺的一部分。許多網購平台都會採用3D Secure交易系統,用戶付款時除了寫入信用卡資料,也需要填寫由金融機構採用電訊商發出短訊(SMS)的一次性密碼(One Time Password, OTP),作為網上身份驗證。然而,這種多年來看似可靠的安全措施,實際上存在不少漏洞。最近新加坡金融管理局(MAS)和新加坡銀行公會(ABS)宣布,將逐步棄用OTP,這決定為香港金融機構提供了重要的參考。
OTP的主要優勢,在於每次交易都會產生不同的密碼,增加了盜取者重複使用的難度。然而,隨着科技進步和網絡釣魚技術的發展,OTP的安全性逐漸受到挑戰。不法分子可透過模擬真實網站的假冒網站,利用釣魚電郵或短訊,誘使用戶輸入OTP,從而竊取其個人訊息和資金。OTP發送過程亦可能受到攔截或竊聽的威脅,如果用戶的手機被惡意軟件入侵,或者通訊渠道不夠安全,OTP就可能被不法分子截取及利用,從而影響OTP本應提供的安全保障。
在香港,OTP被廣泛應用於各種金融交易和網上身份驗證,儘管這技術在提升安全性方面發揮了重要作用,但也曾出現過數宗與OTP相關的詐騙案件。香港傳媒曾報道過一些涉及OTP的網絡詐騙案件,詐騙者利用釣魚網站獲取受害者的OTP,並非法轉移其銀行賬戶的資金;有用戶不慎下載木馬程式,因此令其網上銀行手機應用程式的登入賬戶、密碼以及OTP等被黑客盜取,最終迫使大部分金融機構的手機應用程式(主要針對Android手機),需要禁止用戶錄影及截取熒幕。這些案件揭示了OTP在實際應用的局限,尤其面對日益複雜的網絡詐騙技術時,OTP的防護能力顯得不夠強大。
鑑於OTP所面臨的安全挑戰,香港金融管理局應該採取積極措施,以提升金融安全性。現時香港已有多間金融機構,開始採用流動保安編碼(Mobile Token),產生一次性的「保安編碼」,確認網上銀行的指定交易。流動保安編碼也支援生物認證,較傳統OTP提供更高的安全性,金融機構應鼓勵客戶盡快啟用相關功能,以降低網絡詐騙的風險。
此外,金融機構應加強對客戶的安全意識教育,透過提升客戶對網絡釣魚和其他詐騙手段的識別能力,能夠有效減少詐騙案件發生;透過讓客戶了解如何識別可疑的網站和訊息,可以提升整體的網絡安全防護水平。最後,香港金融機構應與政府機構和執法部門密切合作,共同應對網絡詐騙挑戰。透過訊息共享和協同防範,更有效地打擊不法分子的行為,保護金融體系和市民安全。
更多方保僑文章:
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
 - EJ Tech){kind=link}
){kind=link}