歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
銀行如何免於盜領危機?
2003 / 09 / 03
陳勇君
許多單位或許認為採用晶片金融卡即可解決被複製、盜領的問題,然而事實上,即使是晶片金融卡也不一定能保證不被側錄或偽造,畢竟台灣詐騙集團的偽卡技術、偷竊技巧日新月益,裡應外合的手腕也堪稱一流,而晶片金融卡還有一組「提款密碼」必須嚴密把關,這些都是晶片金融卡尚無法免除的風險。
為了讓存款戶與銀行單位不必擔心晶片金融卡的「密碼」問題,「一次密碼(One-Time Password)解決方案」可提供合適的解決方案。 何謂「一次密碼」解決方案? 顧名思義,就是每次使用不同密碼,每次的密碼透過「密碼系統」隨機產生,而且沒有意義,很難猜中,同時被使用一次後,就自動失效,因此不用擔心「密碼輸入被偷拍」以及「銀行內賊的監守自盜行為」。
因為該密碼由「密碼系統」隨機產生,存款戶也不須自己不斷更改密碼與記憶密碼,讓密碼透過「手機簡訊(SMS)或「密碼產生器(Token)」來自動產生。
如何整合ATM與「一次密碼」機制?
目前ATM系統的密碼保護措施乃是透過「亂碼化設備【HSM】」與 「A/B 碼單」來進行本行與跨行的密碼認證機制,本身並無法支援「一次密碼」的機制;此外每家銀行的ATM設備都不盡相同,加上有財金資訊公司扮演「跨行認證」角色,因此ATM系統可整合「一次密碼」機制。其原因如下:
● 首先並不改變本行與跨行既有的 ATM密碼認證機制(沿用既有的「亂碼化設備」與 「A/B 碼單」)。
● 僅修改各家銀行本身ATM的顯 示畫面與改寫部分程式系統,不需改變既有ATM硬體。
● 各銀行與財金公司架設「容錯 不停頓架構(HA、Failover、自動資料庫同步)」的「密碼資訊系統」。
● 存款戶仍然記憶與使用原先的 「ATM密碼」與「磁條金融卡」,也可如過去想改密碼就改密碼。
● 存款戶可選擇下列方式取得 「一次密碼」 a.「手機簡訊方式」傳送 「一次密碼」 b.「硬體密碼產生器」產生 「一次密碼」,亦可加選「手機簡訊方式」當作備援方式,避免忘記攜帶「硬體密碼產生器」時,仍然可以使用。
● 當存款戶到ATM提款機插入 ATM金融卡時,所需輸入的密碼從原先的四碼(1234),改成八碼(1688-1234)。
● 經過修改程式的ATM提款機收 到消費者所輸入的八碼(1688-1234),前四碼(1688)將先與此新建議架構的「密碼資訊系統」比對是否正確。
a.如果正確,則將後四碼(1234) 按照原先的 ATM 方式繼續運作。
b.如果錯誤,則不處理,或者按 照過去密碼輸入錯誤的方式運作。 為了自身財產的安全與降低盜領風險,「多一元的負擔」或者「多一樣攜帶物品(手機或密碼產生器」加上「多幾秒的時間(多輸入四碼密碼)」並不麻煩,卻能降低財物損失的機率,何樂而不為呢? 作者為優易資訊資安顧問,電子郵件信箱: Kevin@securtec.com.tw。
「一次密碼」機制的優缺點分析
優點
●「快速」解決目前「ATM 磁條卡易被側錄」 與「密碼易被猜中」或「密碼易被監視偷拍」的盜領金錢風險。因為每次密碼都不一樣,而且隨機產生,沒有意義。
● 具備企圖心的銀行可馬上獲得「存款戶」認 同。
● 自動變換密碼,落實密碼安全政策。
● 不用麻煩存款戶變換密碼,降低存款戶忘記 密碼的機率與相對複雜的處理程序、風險與成本。
● 存款戶記憶「一組密碼」,「密碼資訊 系統」當有需要才產生「當次密碼」,銀行內部無法事先知道「當次密碼」,自然無法有「內神通外鬼」的情形發生。同時也可讓「密碼資訊系統」由另外一個安全單位來管理,作到真正「責任分離」的安全性。
● 爾後同樣可以運用且相容於「晶片金融 卡」。
缺點
● 存款戶提款時需要攜帶「所登記的手機」或 「硬體密碼產生器」。
● 存款戶需要”多”輸入「四個密碼」。(備 註:但是不再需要偷偷摸摸輸入密碼)。
● 銀行或存款戶需要額外負擔「簡訊費用(如 果有量,每次提款須多負擔幾毛錢到一塊錢)」或者「硬體密碼產生器(如果有量,購買費用約數百元,適合針對銀行VIP客戶)」的費用。
最新活動
2025.04.23
漢昕科技X線上資安黑白講【暗網攻擊視角:駭客如何入侵你的企業郵件?】2025/4/23全面展開!
2025.04.25
線上研討會 : 有效管控企業資安&營業秘密風險
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
外媒看CrazyHunter勒索團體手法,關注防範開源工具攻擊
資安署25年3月資安月報:入侵攻擊持續居首 Line偽冒網站威脅增加
AI時代的資安攻防:趨勢科技揭「網路犯罪即代理」趨勢
Google Cloud:2025 年資安管理者的五大關注重點
報告:網路邊緣設備成為中小企業資安攻擊的主要入口
資安人科技網
文章推薦
區塊鏈雖提供資安優勢,但密碼管理仍不可輕忽
「ELUSIVE COMET」駭客組織濫用 Zoom遠端控制進行社交工程攻擊
中國APT組織 Mustang Panda推出四款全新攻擊工具