雙重認證補密碼不足

雙重認證

本地網上投資戶口目前仍以單一認證 — 通常是輸入帳戶登入名稱和密碼,作為認證用戶身分的主流。這個認證機制在科技發展,以及電腦和網絡罪行與日俱增的情況下,暴露了安全方面的不足。

近年本港有愈來愈多關於黑客入侵網上投資戶口,進行未經授權交易的事件。黑客可以用不同方法盜取密碼,入侵及操控戶口。用解碼軟件重覆試驗密碼,俗稱暴力攻擊,是其中一種方法。以現時電腦的運算速度,解碼軟件每秒鐘產生超過5億個密碼實不足為奇。至於以社交工程包括偽冒的電郵、網站、手機應用程式及社交網站短訊,騙取人們的密碼,亦是黑客常用的手法。就算大家設定了一個強密碼,也許只能增加黑客下手的難度而已。

了解雙重認證

雙重認證採用了兩種不用性質的身分認證方法,登入戶口,能夠為網上戶口帶來額外的保障。第一步認證通常是輸入自設的帳戶登入名稱和密碼,而第二步認證有多種方法,例如輸入由保安編碼器產生或由手機短訊發出的一次性密碼,生物特徵掃描及數碼證書是其他的認證方法。

有轉帳至未經登記第三者戶口經驗的網上銀行客戶,相信不會對雙重認證感到陌生,並知道措施能令網上交易加倍安全。雙重認證會令黑客難以入侵我們的戶口,因為即使盜取了用戶的帳戶登入名稱和密碼,黑客亦要想辦法取得進行第二重認證的物件或資料,並不是手到拿來的。

雙重認證, 2FA, 帳戶登入名稱和密碼, 一次性密碼, 手機短訊, 保安編碼器, 數碼證書, 生物認證

  使用方法 特點
一次性密碼

輸入由手機短訊發出,或由保安編碼器產生的一次性密碼。每個一次性密碼會在短時間內失效。

保安編碼器由銀行或經紀行提供,可以是實物,即硬件編碼器,或是安裝在手機的軟件,即軟件編碼器。

用戶只要攜帶硬件編碼器,或安裝了軟件編碼器的手機,就可以在任何地方進行認證。

用戶收取手機短訊一次性密碼,就不要再用電訊商所提供的短訊轉發服務或下載任何可以轉發手機短訊的應用程式,以免將所收到的一次性密碼轉發至其他的手機或電郵地址。

生物認證 一種依據用戶獨有生物特徵的認證,可以是指紋、聲紋、虹膜或臉孔掃描。 用戶的智能手機需要支援生物特徵掃描的功能。
數碼證書

用來確認身分的電子證書,可以儲存於智能卡例如身份證,或電子鑰匙例如 USB 認證鑰匙。

在認證過程中將智能卡或鑰匙插進智能卡閱讀器或 USB 連接埠。

數碼證書並非與流動裝置廣泛相容。

登入時做一次雙重認證

雙重認證是目前被視為能有效防範黑客入侵的認證機制,有見及此,證券及期貨事務監察委員會已要求中介人包括經紀行或銀行就客戶登入網上投資戶口實施雙重認證。監管機構未有強制要求採用哪種雙重認證方案,中介人可因應自身情況,選用適當的方案。雙重認證只須用戶在登入戶口時進行一次,而非每次落盤都要進行,希望安全與速度兩者兼得。

無單一方案可杜絕黑客

雙重認證可以為網上證券交易增加保護,但不能完全杜絕黑客入侵。事實上,黑客既然可以利用社交工程攻擊騙取帳戶登入名稱和密碼,也可以照辦煮碗哄騙大家提供第二重認證的資料和物件,而他們直接偷取大家的手機或保安編碼器,亦非絕無可能。

即使有了雙重認證,我們亦要自保,日常上網要遵行一些良好習慣,例如不要 root 或 jail break 手機、下載來歷不明的應用程式,以及避免透過公共 Wi-Fi 及使用公共場所的電腦,登入網上戶口。我們亦要時刻留意自己網上投資戶口的交易,並好好保管手機和保安編碼器。你可以參閱我們的網站文章《網上交易保安要訣》《時刻留意你的戶口》

 

2017年10月27日