新加坡銀行將在3個月內汰除一次性文字密碼

新加坡主管機關要求零售銀行應在3個月內，汰除以一次性的文字密碼作為多因素驗證（MFA），改成更安全的應用程式驗證，但並不包含使用硬體金鑰。

新加坡金融管理局（Monetary Authority of Singapore）及新加坡銀行公會（The Association of Banks in Singapore，ABS）上周宣布，新加坡主要零售銀行將會在未來3個月內積極汰除客戶登入網銀帳號時的一次性密碼（one-time password，OTP），這將有助於預防釣魚攻擊。

已經在行動裝置啟用數位令牌（digital token）的客戶未來要登入網銀時，必須透過手機瀏覽器或行動銀行App使用數位令牌來登入。運用數位令牌不需再以簡訊接收OTP，可防止駭客發送釣魚信件竊取用戶或誘使用戶洩露其帳密。

簡訊式OTP是在2000年被引入作為線上服務或App登入的多因素驗證（MFA）的一環。此類OTP為基礎的MFA簡單方便，但是很早就被發現可能被駭客攔截改造，將訊息內容中加入惡意連結，將用戶導向釣魚網站誘騙使用者帳號，以接管其銀行帳號。

新式MFA是結合應用程式或硬體金鑰產出的數位令牌完成第二層驗證，可杜絕文字式OTP的問題。不過新加坡主管機關也鼓勵銀行汰除硬體金鑰。

根據星國金融管理局的文件，硬體令牌仍然可能遭到釣魚網站詐騙，只是不像文字簡訊那麼高。但當地一些主要銀行如星展、華僑銀行、匯豐銀行等仍然基於客戶要求而持續提供硬體金鑰。對此，星國政府的態度是持續和這些銀行溝通，鼓勵其導入更安全的驗證機制。