[情報] 上海銀行刷卡OTP簡訊新增網頁識別碼

brokeback 07/19 16:49永豐也開始了

Friday 07/19 16:51識別碼的原理是什麼呢? 為何這樣能避免釣魚網站

Kazamatsuri 07/19 16:53之前有新聞了，這個算通知晚了

Kazamatsuri 07/19 16:54應該6月中大家都上線了

Kazamatsuri 07/19 16:57#1cLq5yco (creditcard) 5月底的新聞

Kazamatsuri 07/19 16:57至少我這陣子有線上刷卡發OTP的都有這個機制

Kazamatsuri 07/19 17:02我這陣子用台中銀刷也有選擇驗證碼的選項了

vyvian 07/19 17:06既然顯示於網頁上，表示釣魚網站就能抓到資料

vyvian 07/19 17:07所以一樣防不住釣魚網站，只是讓釣魚工作變麻煩而已

KAOKCH 07/19 17:09不,網頁識別碼技術是唯一的,詳細記錄該網站資訊,以

KAOKCH 07/19 17:09此辨識釣魚網站

vyvian 07/19 17:50使用者->釣魚網站->真的網站 這是輸入卡號階段

vyvian 07/19 17:50然後系統發送OTP給使用者，網頁導向驗證頁面。

vyvian 07/19 17:51釣魚網站可以拿到這個驗證頁面。再顯示給使用者看

vyvian 07/19 17:52所以一樣防不了網路釣魚

vyvian 07/19 17:53人家都要淘汰簡訊OTP了。我們還在用不安全的東西

vyvian 07/19 17:54https://www.ithome.com.tw/news/163923

sggs 07/19 17:54網頁驗證碼只有銀行跟使用者的簡訊有，釣魚網站要

sggs 07/19 17:54拿到要另外想方法

vyvian 07/19 17:56你輸入完卡號之後，就會跳去驗證頁面，上面就顯示

vyvian 07/19 17:57網頁驗證碼了，這不就被釣魚網站拿走了嗎？

vyvian 07/19 17:57因為你卡號就已經給了釣魚網站，他當然可以拿到

nanababa 07/19 18:24感覺比較不會被盜刷

cytochrome 07/19 18:48好的不學學一堆智障的東西

cytochrome 07/19 18:48以後乾脆叫使用者在刷卡授權驗證頁面手動輸入要刷

cytochrome 07/19 18:48的幣別和金額好了

cytochrome 07/19 18:48低能惡搞消費者的政策，愈活愈回去

jack168168tw07/19 19:42永豐也有

cityport 07/19 22:06一點用處都沒有的東西

cityport 07/19 22:26驗證碼如果用商家的名字，四個商家選一個，當你沒看

cityport 07/19 22:26到真實網站的名字，你就會知道中了釣魚網站，硬點下

cityport 07/19 22:26去就強制跳到聯信資料庫裡的網址，釣魚網站就釣不到

cityport 07/19 22:27國外都改成直接識別商家，台灣還在史前遺跡驗證碼

andy0055 07/19 22:31再怎麼防都防不了人心！萬惡之源［我以為］

Kazamatsuri 07/19 22:42商家不用OTP最好

flypenguin 07/19 23:42OTP 越來越浪費時間了…能不能導入綁定裝置確認就好

QQ5566 07/20 00:56討論資安沒用 太深入的東西沒人願意懂

Kazamatsuri 07/20 01:55叫商家跟支付不要再用OTP線上交易或綁卡啊～

aiyowaya 07/20 02:14就是要防止上次那個3d認證但還是被冒用的問題啊

aiyowaya 07/20 02:14但總覺得道高沒有魔高啦

terfd 07/20 12:46只是拖慢被釣的速度而已 乾脆回答10個問題才能付款

away612101 07/20 13:39畢竟太好用，只要OTP就能甩鍋，當然要爆改假裝安全

away612101 07/20 13:42商家怎麼可能不用，只要交易手續費沒差別

away612101 07/20 13:42連交易資訊都不用留，出事就只要一句，是OTP

cytochrome 07/20 14:06要求使用者挑選消費商家的名字真的是個好主意耶！

Kazamatsuri 07/20 14:09照某些邏輯 把驗證碼改為商家名一樣會被攔截釣魚啊~

paul40807 07/20 14:50永豐遇過啊

kaltu 07/21 02:04無法辨識opt是否有被攔截的機制一直改東改西到底有

kaltu 07/21 02:04什麼意義

kaltu 07/21 02:04現在的問題是opt只要被盜，銀行就會主動配合詐騙集

kaltu 07/21 02:04團出金

kaltu 07/21 02:04網頁識別碼這種識別刷卡商家的東西又不是主要問題，

kaltu 07/21 02:04而且擷取網頁識別碼又不是多難辦到的事情

kaltu 07/21 02:04與其搞手動opt不如把opt打包起來用手機的生物認證或

kaltu 07/21 02:04pass key

kaltu 07/21 02:04要消費的時候手機銀行App確認指紋或臉部掃描授權，

kaltu 07/21 02:04通過了才在後台用密碼學機制跟銀行回報通過，包含幾

kaltu 07/21 02:04點幾分哪個pass key裝置用什麼生物認證授權的，這樣

kaltu 07/21 02:04遠比隨便都被盜的opt更符合那什麼鬼「不可否認性」

kaltu 07/21 02:04概念和架構跟opt一樣唯一的差別是使用者從頭到尾都

kaltu 07/21 02:04不知道opt是多少，所以也根本沒有機會被盜走

kaltu 07/21 02:04而且因為這種opt一刻都沒有離開過銀行控制的系統（

kaltu 07/21 02:04簡訊、email、使用者的大腦、輸入的瀏覽器）這樣還

kaltu 07/21 02:04被盜就100%是銀行的鍋

kaltu 07/21 02:07沒手機的商業客戶也可以要求用預先綁定好的Windows

kaltu 07/21 02:07Hello之類的臉部IR和指紋

kaltu 07/21 02:07手動動態密碼這種東西真的該淘汰了

cytochrome 07/21 02:28樓上的構想很好，但基於個人資料保護及其他法規的

cytochrome 07/21 02:28大架構下，這涉及太多個人資料蒐集處理利用及與法

cytochrome 07/21 02:28遵的議題

cytochrome 07/21 02:28實際生活中，有些人手機裡留存就超過“一個人”以

cytochrome 07/21 02:28上的指紋了，大科技提供終端裝置對於“使用者人”

cytochrome 07/21 02:28的識別及驗證，在實際法律上是否具有足夠的不可否

cytochrome 07/21 02:28認性，在法律攻防上應該是個值得討論的主題，除非

cytochrome 07/21 02:28使用一樣會被詐騙集團濫用的(行動或實體)自然人憑

cytochrome 07/21 02:28證，經電子簽署後才具有不可否認性

cytochrome 07/21 02:28BTW,有人被詐騙集團叫去辦自然人憑證就真的跑去辦

cytochrome 07/21 02:28，辦完之後把卡片和密碼給詐騙集團，怪誰？