保安編碼器

早幾天收到匯豐銀行寄給我的「保安編碼器」。啟動程序完成後,現時每次登入匯豐銀行的網上理財戶口,在輸入了用戶名稱及密碼後,還要按一次編碼器,輸入那「隨機」產生的六位數字號碼,才能進入正式進行網站。

記得較早前銀行界宣布,要為網上銀行設立第二重驗證時,曾拋出數個方案,除了上述由匯豐採用的保安編碼器外,好像還有經手機網絡,發出只能用一次的驗證碼手機短訊,及利用電子證書。瀏覽匯豐銀行有關保安編碼器的介紹網頁,它指出保安編碼器有以下的優點:

*「保安編碼器」能夠自行發出保安編碼。由於保安編碼並不需要依靠第三方來發出,故客戶無須依靠第三方提供合符標準的服務,也能安全享用網上銀行服務。
*保安編碼無須受客戶的系統容量、訊號可用情況或地理位置所限制。
*「保安編碼器」體積細小、輕巧和易用。任何已連接互聯網的電腦均可使用此編碼器,而無需下載程式、進行額外設定、系統調校等。
(取自匯豐銀行網站)

當然,我覺得上述三點都是事實,但是我始終對保安編碼器沒太多信心。保安編碼器雖是「隨機」產生六個數字,而組合的數量應該是十的六次方(有錯的話請指證),也即是說,組合的數量理應不少,被猜中的機會應該微乎其微。不過我讀到五月三十一日《東方日報》的報道中,有關其原理的原文後,我是有點猜疑的:

保安編碼器內有演算程式,根據用戶編號及使用時間等變數,演算出一組六位編碼,銀行總機貯存的對應程式會同時演算出相同編碼,如果用戶輸入編碼與銀行總機計算出來的編碼相同,便可完成第二重認證。

若我的理解沒有錯,銀行的伺服器會針對每一部編碼器的特色(以編碼器背後的Serial Number),以及其使用次數,來訂出下一次登入網上銀行服務時,所需要的六位數字密碼。雖然這理論上是會用盡「十的六次方」的組合數量,猜中的機會率很低,但是反過來看,也即是說銀行本身是知道下一個(甚或之後)密碼應該是甚麼的。這樣的話,我對它可沒有多大信心呀,因為銀行早已有一個「密碼使用次序清單」,不像手機發短訊般,在發出短訊的一刻前才隨機訂出密碼。即使訂出密碼的是電腦不是人腦,不過總也得提範它有洩露出去的可能啊。

再者,以編碼器這麼細小的體積,隨身帶它不是,不帶它也不是,老實說,我覺得它是一個為我們添加麻煩的gadget,況且,一旦遺失它就麻煩了。是的,手機短訊密碼有很多不良的地方,如手機機主收不到短訊,或對較年長的用戶來說有不便,但是一想到為了保安,而要增加我們的不便,我還是會選擇手機短訊密碼而不是保安編碼器了。

說起來,為甚麼沒有銀行提倡使用電子證書呢?早些兒不是說過大部分香港人都有電子證書(拜換領智能身份證之賜),但使用率極低麼?既然是安講求保安的話,電子證書可能更安全呢(證書的電腦檔案+其密碼),不過正如有關其麻煩的報道所指出般,電子證書實在太麻煩,煩的程度,不但是其網站本身非常user-unfriendly,還包括證書本身太多設定,結果令不少人卻步!或許,不少機構被電子證書的「煩」嚇壞,而不敢採用它呢!

11 Responses to “保安編碼器”


  • using Internet Explorer Internet Explorer 6.0 on Windows Windows XP

    I carry something like that for my work – we call it the “Secure ID”. We use it to access the work computer system from home. Once I got used to using it, it wasn’t too much of an inconvenience.

    Banks here in the U.S. that offer free on-line services don’t use such a device, probably for cost reasons. Hong kong banks probably don’t offer on-line services for free if they use these security devices, and Hong Kong people probably don’t mind paying for it.

  • using Mozilla Firefox Mozilla Firefox 1.0.4 on Windows Windows XP

    問過匯豐,它說金管局規定銀行以後需提供雙重認証給網上理財。匯豐,恆生和中銀多客,它們就先就帶頭做。

    第二重認証除匙扣型 key generator 外, 聽聞有些銀行會用 sms 即時 send key code 俾客,有些則要求客戶先申請數碼証書。

    原則是總客戶自設 password 外,多一重由銀行提供只限用一次的 password 認証。

    這設計總比現在安全。

  • using Internet Explorer Internet Explorer 5.5 on Windows Windows 98

    Alex can e-mail and ask HSBC why it prefers this gadget to sms , apart from the reasons u’ve stated ( 如手機機主收不到短訊,或對較年長的用戶來說有不便 ) , it may have also considered whether it’s more secure if a 3rd party mobile phone service provider is involved.

  • using Internet Explorer Internet Explorer 6.0 on Windows Windows XP

    如果這個編碼器會不會有內置時間之類?每次發出密碼時,當天的日子都是其中一個計算密碼的元素,那銀行就不會有張密碼名單,因日子/時間是其中一個變數,不知道你何時會用。
    我沒有這東西,很有興趣,有沒有試過同一天按幾次掣,出來的密碼是不是一樣的?是不是每次輸入密碼,只要是編碼器提供的就可以?按多次掣可以嗎?

  • using Mozilla Firefox Mozilla Firefox 1.0.4 on Windows Windows XP

    米曹:我想編碼器內置時間的機會不大,因為這只會提供一個改動時間(達致操控密碼)的誘因,況且既然編碼器的編碼程式要與銀行伺服器的程式比對,兩者要調較到時間一樣,恐怕成本太大。

    也正如引文所說,根據使用的「時間」,我會理解為次數。

    Gaubinfor:正如你所說,手機收密碼不但涉及第三者(電訊公司),我也想到如果手機有藍芽裝置,而有人利用其他藍芽裝置進行pairing的話,密碼也有可能被盜取的。

    Carl:本地銀行現在不鼓勵櫃台服務,我自己的網上戶口也沒收過費,這次收到編碼器也沒付過任何支出,可能是近年銀行水浸情況太嚴重,可以不收編碼器的成本了罷?

  • using Internet Explorer Internet Explorer 6.0 on Windows Windows XP

    好像現在只有部份商業客戶才能得到這呢。很好奇他如不是根據時間計算出編號那會是怎樣計算出來。

  • using Mozilla Firefox Mozilla Firefox 1.0.4 on Windows Windows XP

    只知道密碼是時間和內置的密碼的function,你在幾秒內連按數次密碼是一樣的,按一次密碼後等一會再輸入也是可行的,不是如果不知道機器硬體內的密碼,在限時內撞出那個密碼基本上是不可能罷…

    之前研究過這東東,可讀讀這篇:
    http://www.siuying.net/articles/2005/04/25/391/

  • using Internet Explorer Internet Explorer 6.0 on Windows Windows XP

    手機短訊?
    如果你身在外地,恰好急需轉錢給人,會有麻煩

  • using Internet Explorer Internet Explorer 6.0 on Windows Windows XP

    我很不需要這種麻煩的「保安」!  

    坦白講,我的戶口又不是有幾千萬,而只是有幾千元,這些甚麼「雙重保安」實在討厭(不如十重保安ㄚ笨)!  
    現在我嫌煩,早已不再用網上理財了!!!  

  • using Google Chrome Google Chrome 7.0.517.44 on Windows Windows 7

    說實話, 以我這個曾用電子證書的人來說.
    電子証書的確十分不便.
    會受到使用中的電腦系統, 硬體所限,
    如果更換/重裝電腦, 証書就會消失,
    就需要重新再入.

    另於街外或其他電腦亦會因為沒有有效的電子証書而無法使用…

  • using Internet Explorer Internet Explorer 8.0 on Windows Windows XP

    我有一個保安器。曾問過客服經理它的原理,經理說,是有匯豐伺服器產生一個號碼給保安器的。當時沒有多想,回來後的疑問是:如經理所言,則保安器是一個接收器,那麼,發射強度豈非要好大?因為我的保安器在廣州也可以使,我老闆的保安器是從英國匯豐獲得的,在中國也可以用。

Comments are currently closed.



%d bloggers like this: