如题我包恩
这几天在试用MoneyBook的时候
有试着把我三家金融机构 (邮局、台银、中信) 的网银都绑进去 并同步很多次
除了Moneybook以外，还有电脑、手机直接登入网银，
加起来大概有3组IP左右，在相近的时间登入
结果刚刚台湾银行就打电话问我
昨天有没有频繁登入网银
因为他们报表有跳出来说 有不重复的IP登入
我是觉得还蛮贴心的 也会去侦测登入成功的纪录有没有问题
不知道其他家有没有这种服务

比鼎泰丰难吃的的满街都是啊鼎泰丰的东西一点都不普通 爱不爱吃就随个人了

高雄－龙华市场－小笼包店 >>>>>>>>>>>>>>鼎泰丰

那家很难吃耶 龙华的.. 至少上次我去 嗯

哇靠 龙华市场根本没有小笼包店好吗lol

这种app不要用 都把你帐号密码拿去了要整合多银行资讯 等到OpenAPI第二类开放后再用使用OpenAPI的话 不需要你提供帐密给appOpenAPI架构的身分验证是OP验证 也就是各银行自己验证app不代替验证使用者 就类似现在很多的facebook登入app验证都是facebook自己验 app拿不到帐密

现在很多网银交易会有另一组密码ex 台企银 合库，如果网银帐密不会造成损失ex非约转 买保险 买基金，也不太在意自己银行资讯被非银行人员看到，这类app有其他缺点吗？我是只怕被更改联络号码 帐单地址 盗办信用卡 用自家银行扣缴，其他？？

偷盗你帐密先 之后再用社交工程手法偷你其他资讯啊到时候银行电话照会 他都可以通过就能改你其他资料了不怕的话 你干脆现在就公开帐密给大家看囉

除非OpenApi开放使用 不然完全不敢用这种App

看了上面推文 立马把MineyBook删掉＋换网银密码==

使用者自己也矛盾，怕人家看又给帐密

等API吧

其他银行也有报表，差别是有没有认真打给客人而已

我自己是完全不敢使用啦，之前在卡板看到很多人讨论，提出来是想多了解相关的风险，也想知道愿意使用的人对于这些风险的想法，也谢谢g大的提醒

你用了没删哪天收到登入mail可能还会去报警哈哈哈

很多银行都有相关报表，差异在有些怕打去客户会骂

记得之前就这类东西，搞得网银登入变麻烦吧

希望 API 赶紧发展起来

有一种弱点叫CSRF

我不懂为什么网银不要用2FA？是技术上有什么困难吗

美国很多网银有 2FA 啊，不过 SMS 的 2FA 不太安全用security key or one time pad 比较安全上面也提到有网银虽然登入时没2FA,但执行一些操作时有2FA

国泰世华某些网银操作就需要2FA，至于登入就需要2FA也有范例，汇丰就是了，但是很多人知道汇丰的下场……

太难登入吗 XD 不过如果这样也可以改成选用服务阿...

手机app比不上电脑的一点是电脑的网址列可以得知目前显示验证页面的网站是否真的是原网站而不是钓鱼网站,但手机目前因为萤幕尺寸因素,即使连浏览器默认都隐藏网址列,所以这类第三方(非银行出品)的app,仍要提防有钓鱼可能,显示与原银行一样的登入页面来骗取帐密如果银行端验证是采取金钥验证(如早期的台新,以及目前华银)或者用另一组专用于第3方验证的帐密并传短信,会安全很

假鬼假怪，麻布不是绝对安全但是也没有某些人想像的那么夸张好不好，真的以为你的网银帐密就是用明码存在db上那么吗，担心这个不如担心你平常其它的使用习惯，未来银行释出API还是很多人会怕的要死啦

好奇一问，这些网站跟网银又没相关登入API合作，帐号密码若是存加密编码过的，能够送出相关资料去登入吗？

没有银行密码用明码存在数据库的 违反电子资料处理法储存的密码基本上都是hash+加密网站若有实施E2EE密码加密 加密处理是在网页(浏览器)端这些app拿到的是你的密码明码 登入时他帮你输入到银行网页 经由网页加密后送出验证

我还给了很多家银行帐密给麻布咧有帐只能看收入出支跟消费,又能怎样钱还是转不出去

会怕就快去银行变更密码

是想知道我住什么饭店买什么东西吗

他有办法去变更安控机制不就可以转了 例如得到你个资打去变更联络方式 然后用他的电话接收SMSOTP 不就可转帐了偷到帐密只是第一步而已你没有尽到保管责任 到时候出事 银行可以推责任给你

我没开电话转帐是要怎转,要去柜台吗?

网银转帐用SMSOTP可以非约转 只是额度较低另外如果你有多个业务往来 比如信用卡/基金/外汇之类的也有风险 被偷到帐密就是第一道关卡被攻破了风险意识薄弱...偷到你的帐密也不见得他自己要骇你 也可以卖给骇客集团

实务上现阶段是做不到透过第三方验证，MoneyBook的系统架构如何除了内部外没人会知道，但就我简单理解，大致是由App在本地以公钥加密资料后，透过TLS传输并储存在GCP的VPC上，首先传输上的疑虑就没了，再来是MoneyBook持有资料的问题，原则上持有Key或是访问权限的开发人员谁都可以拿走使用者的资料，然而团队内部不可能对此不设防，GCP上也有提供相关的功能给企业管理保密资料

网银转帐用SMSOTP可以非约转?我的帐号全都只能用金融卡,是要转什么帐?打电话就能更换手机号,这银行是管控有问题.不是用户

不少行动网银app可以SMSOTP约转. 当你装了一个钓鱼app,根本不用换手机号,只要安装时被骗,授权了短信权限,OTP都可以拦截转发给骇客,骇客就得到了SMSOTP

如果设定只有金融卡可以转帐，如果银行改电话需要本人现场才能更改，风险就比较低之前搬家，有些银行地址要现场亲自更改，有些接受电话更改，也许风险控管也不同

因为客人会投诉说为什么一定要现场改资料,然后出事再推说为什么可以不用现场改资料

Google Store上有人问资安问题 他们也有回答～另外有Youtuber说暗网早就有骇客骇到很多帐密了...https://www.youtube.com/watch?v=TMYgE5EoFwo

您们好，我是麻布记帐的麻编，真的很感谢大家对我们的指教，关于资安部分，因为台湾的法规尚未明朗化，所以我们参照各国资安标准做了相当多的努力，我们也知道无论做得多完善，在金管会第二阶段帐户资讯API尚未推出之前，一定还是会有很多人对于把帐密提交给我们感到疑虑所以除了完善资安之外，我们也花了近一年的时间，金管会监管。今年金管会其中一项重点政策在于Open Banking，金管会委托财金公司制定开放API以及银行与第三方业者串接API的规范，财金公司也在今年七月邀请我们加入开放API的测试以及相关规格的制定，相信很快就会进展到规划第二阶段帐务资讯API，我们会持续的更新与财金公司和银行合作的状况给各位，有兴趣但有疑虑的人也都可以在完成第二阶段API串接后再来使用Moneybook。QQ金管会那段漏字了..近一年来，我们持续努力和主管机关沟通，希望像我们这样的业者能够被金管会监管。国外类似的服务发展的相当成熟，像是美国的Mint、日本的Moneyforward，麻布也向他们看齐，无论是在协助政策推动，以及完善用户许愿的功能，我们都会继续努力，协助推动台湾Open Banking的进展

我从来不用非本行的app太危险了！而且出事银行可以不用处理的

麻编你要不要直接回一篇就好了..这样也比较好继续讨论