楼主:
lcloud (噜先生)
2021-02-10 22:46:50我没有用richart,有点难想像richart转帐不需要OTP。
可否请问richart可以用OTP绑定特定手机,
之后在绑定的手机上进行非约转都不需要再用OTP验证一次?
如果真的是这样,这个情况有点有趣,这个机制不能说违反安控基准,但安全性相对较低吧。
如果"每一次"非约转都必须要做一次OTP验证,加上非约转的单笔/每日限额,
要骗到几十万,对END USER来说,是满夸张的 (一直操作OTP都不会觉得奇怪?)
但若只要骗到一次OTP进行装置绑定,门槛就降低很多,毕竟网站做的跟真的一样,
一般民众根本不会去看domain name,也看不懂domain name的差异。
好多年前银行公会有要求各银行要去"管理"有没有冒名自己的钓鱼网站,
站在银行的角度,我是觉得很扯,到底要怎样才能去主动发现钓鱼网站。
可是如果是银行自己把安全机制设计的比较差,难道完全没有责任,都是民众的责任吗?
符合安控基准应该只是电子银行的最低标准,而非最高标准吧
※ 引述《ripple0129 (perry tsai)》之铭言:
: 整个流程是这样
: 受害者到钓鱼网站输入帐密
: 钓鱼网站马上到真实银行输入帐密
: 这时候就会发OTP短信到受害者手机
: 受害者在钓鱼网站输入OTP
: 钓鱼网站等同也拿到OTP能登入了
: 整个最大的问题是
: 为什么每一笔转帐没有OTP
: 这是Richard的问题了
: 基本上我使用的银行
: 每次转帐都是需要再输入OTP的
: 不过要Richard赔有点难
作者:
ssccg (23)
2021-02-11 01:42:00符合安控其实是很高的标准了,只是一般民众的一点小钱只算低风险,宁可方便就好
作者:
now99 (陈在天)
2021-02-11 02:56:00User责任在单笔转帐五万,毕竟帐号密码一次OTP都给出去了,但是暴冲到四十万这三十五万差距是验证机制设计瑕疵,台新要付很大的责任,现在上新闻这五万是不是也凹台新吞了xd而且还攻破转帐限额单月二十万,只因为限额by 帐户不是by UserId xddd还好不是再跨月攻击,不然可以爆冲到八十万
作者:
now99 (陈在天)
2021-02-11 13:26:00生物辨识间接验证无法绑定手机,要过一次电信通路目前好的解法就是走 mobile id 或 aotp走 PKI 或 FIDO 也是一样问题
作者: sunpc 2021-02-12 20:32:00
FIDO UAF还是fishable, 要FIDO U2F或FIDO2才是射进来阻止钓鱼网站攻击...设计来....orz