新加坡主管機關要求零售銀行應在3個月內,汰除以一次性的文字密碼作為多因素驗證(MFA),改成更安全的應用程式驗證,但並不包含使用硬體金鑰。

新加坡金融管理局(Monetary Authority of Singapore)及新加坡銀行公會(The Association of Banks in Singapore,ABS)上周宣布,新加坡主要零售銀行將會在未來3個月內積極汰除客戶登入網銀帳號時的一次性密碼(one-time password,OTP),這將有助於預防釣魚攻擊。

已經在行動裝置啟用數位令牌(digital token)的客戶未來要登入網銀時,必須透過手機瀏覽器或行動銀行App使用數位令牌來登入。運用數位令牌不需再以簡訊接收OTP,可防止駭客發送釣魚信件竊取用戶或誘使用戶洩露其帳密。

簡訊式OTP是在2000年被引入作為線上服務或App登入的多因素驗證(MFA)的一環。此類OTP為基礎的MFA簡單方便,但是很早就被發現可能被駭客攔截改造,將訊息內容中加入惡意連結,將用戶導向釣魚網站誘騙使用者帳號,以接管其銀行帳號。

新式MFA是結合應用程式或硬體金鑰產出的數位令牌完成第二層驗證,可杜絕文字式OTP的問題。不過新加坡主管機關也鼓勵銀行汰除硬體金鑰。

根據星國金融管理局的文件,硬體令牌仍然可能遭到釣魚網站詐騙,只是不像文字簡訊那麼高。但當地一些主要銀行如星展、華僑銀行、匯豐銀行等仍然基於客戶要求而持續提供硬體金鑰。對此,星國政府的態度是持續和這些銀行溝通,鼓勵其導入更安全的驗證機制。

熱門新聞

Advertisement