Daily Archive for June 10th, 2005

早幾天收到匯豐銀行寄給我的「保安編碼器」。啟動程序完成後，現時每次登入匯豐銀行的網上理財戶口，在輸入了用戶名稱及密碼後，還要按一次編碼器，輸入那「隨機」產生的六位數字號碼，才能進入正式進行網站。

記得較早前銀行界宣布，要為網上銀行設立第二重驗證時，曾拋出數個方案，除了上述由匯豐採用的保安編碼器外，好像還有經手機網絡，發出只能用一次的驗證碼手機短訊，及利用電子證書。瀏覽匯豐銀行有關保安編碼器的介紹網頁，它指出保安編碼器有以下的優點：

＊「保安編碼器」能夠自行發出保安編碼。由於保安編碼並不需要依靠第三方來發出，故客戶無須依靠第三方提供合符標準的服務，也能安全享用網上銀行服務。
＊保安編碼無須受客戶的系統容量、訊號可用情況或地理位置所限制。
＊「保安編碼器」體積細小、輕巧和易用。任何已連接互聯網的電腦均可使用此編碼器，而無需下載程式、進行額外設定、系統調校等。
（取自匯豐銀行網站）

當然，我覺得上述三點都是事實，但是我始終對保安編碼器沒太多信心。保安編碼器雖是「隨機」產生六個數字，而組合的數量應該是十的六次方（有錯的話請指證），也即是說，組合的數量理應不少，被猜中的機會應該微乎其微。不過我讀到五月三十一日《東方日報》的報道中，有關其原理的原文後，我是有點猜疑的：

保安編碼器內有演算程式，根據用戶編號及使用時間等變數，演算出一組六位編碼，銀行總機貯存的對應程式會同時演算出相同編碼，如果用戶輸入編碼與銀行總機計算出來的編碼相同，便可完成第二重認證。

若我的理解沒有錯，銀行的伺服器會針對每一部編碼器的特色（以編碼器背後的Serial Number），以及其使用次數，來訂出下一次登入網上銀行服務時，所需要的六位數字密碼。雖然這理論上是會用盡「十的六次方」的組合數量，猜中的機會率很低，但是反過來看，也即是說銀行本身是知道下一個（甚或之後）密碼應該是甚麼的。這樣的話，我對它可沒有多大信心呀，因為銀行早已有一個「密碼使用次序清單」，不像手機發短訊般，在發出短訊的一刻前才隨機訂出密碼。即使訂出密碼的是電腦不是人腦，不過總也得提範它有洩露出去的可能啊。

再者，以編碼器這麼細小的體積，隨身帶它不是，不帶它也不是，老實說，我覺得它是一個為我們添加麻煩的gadget，況且，一旦遺失它就麻煩了。是的，手機短訊密碼有很多不良的地方，如手機機主收不到短訊，或對較年長的用戶來說有不便，但是一想到為了保安，而要增加我們的不便，我還是會選擇手機短訊密碼而不是保安編碼器了。

說起來，為甚麼沒有銀行提倡使用電子證書呢？早些兒不是說過大部分香港人都有電子證書（拜換領智能身份證之賜），但使用率極低麼？既然是安講求保安的話，電子證書可能更安全呢（證書的電腦檔案＋其密碼），不過正如有關其麻煩的報道所指出般，電子證書實在太麻煩，煩的程度，不但是其網站本身非常user-unfriendly，還包括證書本身太多設定，結果令不少人卻步！或許，不少機構被電子證書的「煩」嚇壞，而不敢採用它呢！