早幾天收到匯豐銀行寄給我的「保安編碼器」。啟動程序完成後,現時每次登入匯豐銀行的網上理財戶口,在輸入了用戶名稱及密碼後,還要按一次編碼器,輸入那「隨機」產生的六位數字號碼,才能進入正式進行網站。
記得較早前銀行界宣布,要為網上銀行設立第二重驗證時,曾拋出數個方案,除了上述由匯豐採用的保安編碼器外,好像還有經手機網絡,發出只能用一次的驗證碼手機短訊,及利用電子證書。瀏覽匯豐銀行有關保安編碼器的介紹網頁,它指出保安編碼器有以下的優點:
*「保安編碼器」能夠自行發出保安編碼。由於保安編碼並不需要依靠第三方來發出,故客戶無須依靠第三方提供合符標準的服務,也能安全享用網上銀行服務。
*保安編碼無須受客戶的系統容量、訊號可用情況或地理位置所限制。
*「保安編碼器」體積細小、輕巧和易用。任何已連接互聯網的電腦均可使用此編碼器,而無需下載程式、進行額外設定、系統調校等。
(取自匯豐銀行網站)
當然,我覺得上述三點都是事實,但是我始終對保安編碼器沒太多信心。保安編碼器雖是「隨機」產生六個數字,而組合的數量應該是十的六次方(有錯的話請指證),也即是說,組合的數量理應不少,被猜中的機會應該微乎其微。不過我讀到五月三十一日《東方日報》的報道中,有關其原理的原文後,我是有點猜疑的:
保安編碼器內有演算程式,根據用戶編號及使用時間等變數,演算出一組六位編碼,銀行總機貯存的對應程式會同時演算出相同編碼,如果用戶輸入編碼與銀行總機計算出來的編碼相同,便可完成第二重認證。
若我的理解沒有錯,銀行的伺服器會針對每一部編碼器的特色(以編碼器背後的Serial Number),以及其使用次數,來訂出下一次登入網上銀行服務時,所需要的六位數字密碼。雖然這理論上是會用盡「十的六次方」的組合數量,猜中的機會率很低,但是反過來看,也即是說銀行本身是知道下一個(甚或之後)密碼應該是甚麼的。這樣的話,我對它可沒有多大信心呀,因為銀行早已有一個「密碼使用次序清單」,不像手機發短訊般,在發出短訊的一刻前才隨機訂出密碼。即使訂出密碼的是電腦不是人腦,不過總也得提範它有洩露出去的可能啊。
再者,以編碼器這麼細小的體積,隨身帶它不是,不帶它也不是,老實說,我覺得它是一個為我們添加麻煩的gadget,況且,一旦遺失它就麻煩了。是的,手機短訊密碼有很多不良的地方,如手機機主收不到短訊,或對較年長的用戶來說有不便,但是一想到為了保安,而要增加我們的不便,我還是會選擇手機短訊密碼而不是保安編碼器了。
說起來,為甚麼沒有銀行提倡使用電子證書呢?早些兒不是說過大部分香港人都有電子證書(拜換領智能身份證之賜),但使用率極低麼?既然是安講求保安的話,電子證書可能更安全呢(證書的電腦檔案+其密碼),不過正如有關其麻煩的報道所指出般,電子證書實在太麻煩,煩的程度,不但是其網站本身非常user-unfriendly,還包括證書本身太多設定,結果令不少人卻步!或許,不少機構被電子證書的「煩」嚇壞,而不敢採用它呢!
I carry something like that for my work – we call it the “Secure ID”. We use it to access the work computer system from home. Once I got used to using it, it wasn’t too much of an inconvenience.
Banks here in the U.S. that offer free on-line services don’t use such a device, probably for cost reasons. Hong kong banks probably don’t offer on-line services for free if they use these security devices, and Hong Kong people probably don’t mind paying for it.
問過匯豐,它說金管局規定銀行以後需提供雙重認証給網上理財。匯豐,恆生和中銀多客,它們就先就帶頭做。
第二重認証除匙扣型 key generator 外, 聽聞有些銀行會用 sms 即時 send key code 俾客,有些則要求客戶先申請數碼証書。
原則是總客戶自設 password 外,多一重由銀行提供只限用一次的 password 認証。
這設計總比現在安全。
Alex can e-mail and ask HSBC why it prefers this gadget to sms , apart from the reasons u’ve stated ( 如手機機主收不到短訊,或對較年長的用戶來說有不便 ) , it may have also considered whether it’s more secure if a 3rd party mobile phone service provider is involved.
如果這個編碼器會不會有內置時間之類?每次發出密碼時,當天的日子都是其中一個計算密碼的元素,那銀行就不會有張密碼名單,因日子/時間是其中一個變數,不知道你何時會用。
我沒有這東西,很有興趣,有沒有試過同一天按幾次掣,出來的密碼是不是一樣的?是不是每次輸入密碼,只要是編碼器提供的就可以?按多次掣可以嗎?
米曹:我想編碼器內置時間的機會不大,因為這只會提供一個改動時間(達致操控密碼)的誘因,況且既然編碼器的編碼程式要與銀行伺服器的程式比對,兩者要調較到時間一樣,恐怕成本太大。
也正如引文所說,根據使用的「時間」,我會理解為次數。
Gaubinfor:正如你所說,手機收密碼不但涉及第三者(電訊公司),我也想到如果手機有藍芽裝置,而有人利用其他藍芽裝置進行pairing的話,密碼也有可能被盜取的。
Carl:本地銀行現在不鼓勵櫃台服務,我自己的網上戶口也沒收過費,這次收到編碼器也沒付過任何支出,可能是近年銀行水浸情況太嚴重,可以不收編碼器的成本了罷?
好像現在只有部份商業客戶才能得到這呢。很好奇他如不是根據時間計算出編號那會是怎樣計算出來。
只知道密碼是時間和內置的密碼的function,你在幾秒內連按數次密碼是一樣的,按一次密碼後等一會再輸入也是可行的,不是如果不知道機器硬體內的密碼,在限時內撞出那個密碼基本上是不可能罷…
之前研究過這東東,可讀讀這篇:
http://www.siuying.net/articles/2005/04/25/391/
手機短訊?
如果你身在外地,恰好急需轉錢給人,會有麻煩
我很不需要這種麻煩的「保安」!
坦白講,我的戶口又不是有幾千萬,而只是有幾千元,這些甚麼「雙重保安」實在討厭(不如十重保安ㄚ笨)!
現在我嫌煩,早已不再用網上理財了!!!
說實話, 以我這個曾用電子證書的人來說.
電子証書的確十分不便.
會受到使用中的電腦系統, 硬體所限,
如果更換/重裝電腦, 証書就會消失,
就需要重新再入.
另於街外或其他電腦亦會因為沒有有效的電子証書而無法使用…
我有一個保安器。曾問過客服經理它的原理,經理說,是有匯豐伺服器產生一個號碼給保安器的。當時沒有多想,回來後的疑問是:如經理所言,則保安器是一個接收器,那麼,發射強度豈非要好大?因為我的保安器在廣州也可以使,我老闆的保安器是從英國匯豐獲得的,在中國也可以用。