10.06.2005
保安編碼器
早幾天收到匯豐銀行寄給我的「保安編碼器」。啟動程序完成後,現時每次登入匯豐銀行的網上理財戶口,在輸入了用戶名稱及密碼後,還要按一次編碼器,輸入那「隨機」產生的六位數字號碼,才能進入正式進行網站。
記得較早前銀行界宣布,要為網上銀行設立第二重驗證時,曾拋出數個方案,除了上述由匯豐採用的保安編碼器外,好像還有經手機網絡,發出只能用一次的驗證碼手機短訊,及利用電子證書。瀏覽匯豐銀行有關保安編碼器的介紹網頁,它指出保安編碼器有以下的優點:
*「保安編碼器」能夠自行發出保安編碼。由於保安編碼並不需要依靠第三方來發出,故客戶無須依靠第三方提供合符標準的服務,也能安全享用網上銀行服務。
*保安編碼無須受客戶的系統容量、訊號可用情況或地理位置所限制。
*「保安編碼器」體積細小、輕巧和易用。任何已連接互聯網的電腦均可使用此編碼器,而無需下載程式、進行額外設定、系統調校等。
(取自匯豐銀行網站)
當然,我覺得上述三點都是事實,但是我始終對保安編碼器沒太多信心。保安編碼器雖是「隨機」產生六個數字,而組合的數量應該是十的六次方(有錯的話請指證),也即是說,組合的數量理應不少,被猜中的機會應該微乎其微。不過我讀到五月三十一日《東方日報》的報道中,有關其原理的原文後,我是有點猜疑的:
保安編碼器內有演算程式,根據用戶編號及使用時間等變數,演算出一組六位編碼,銀行總機貯存的對應程式會同時演算出相同編碼,如果用戶輸入編碼與銀行總機計算出來的編碼相同,便可完成第二重認證。
若我的理解沒有錯,銀行的伺服器會針對每一部編碼器的特色(以編碼器背後的Serial Number),以及其使用次數,來訂出下一次登入網上銀行服務時,所需要的六位數字密碼。雖然這理論上是會用盡「十的六次方」的組合數量,猜中的機會率很低,但是反過來看,也即是說銀行本身是知道下一個(甚或之後)密碼應該是甚麼的。這樣的話,我對它可沒有多大信心呀,因為銀行早已有一個「密碼使用次序清單」,不像手機發短訊般,在發出短訊的一刻前才隨機訂出密碼。即使訂出密碼的是電腦不是人腦,不過總也得提範它有洩露出去的可能啊。
再者,以編碼器這麼細小的體積,隨身帶它不是,不帶它也不是,老實說,我覺得它是一個為我們添加麻煩的gadget,況且,一旦遺失它就麻煩了。是的,手機短訊密碼有很多不良的地方,如手機機主收不到短訊,或對較年長的用戶來說有不便,但是一想到為了保安,而要增加我們的不便,我還是會選擇手機短訊密碼而不是保安編碼器了。
說起來,為甚麼沒有銀行提倡使用電子證書呢?早些兒不是說過大部分香港人都有電子證書(拜換領智能身份證之賜),但使用率極低麼?既然是安講求保安的話,電子證書可能更安全呢(證書的電腦檔案+其密碼),不過正如有關其麻煩的報道所指出般,電子證書實在太麻煩,煩的程度,不但是其網站本身非常user-unfriendly,還包括證書本身太多設定,結果令不少人卻步!或許,不少機構被電子證書的「煩」嚇壞,而不敢採用它呢!