双重认证补密码不足

双重认证

本地网上投资户口目前仍以单一认证 — 通常是输入帐户登入名称和密码,作为认证用户身分的主流。这个认证机制在科技发展,以及电脑和网络罪行与日俱增的情况下,暴露了安全方面的不足。

近年本港有愈来愈多关于黑客入侵网上投资户口,进行未经授权交易的事件。黑客可以用不同方法盗取密码,入侵及操控户口。用解码软件重覆试验密码,俗称暴力攻击,是其中一种方法。以现时电脑的运算速度,解码软件每秒钟产生超过5亿个密码实不足为奇。至于以社交工程包括伪冒的电邮、网站、手机应用程式及社交网站短讯,骗取人们的密码,亦是黑客常用的手法。就算大家设定了一个强密码,也许只能增加黑客下手的难度而已。

了解双重认证

双重认证采用了两种不用性质的身分认证方法,登入户口,能够为网上户口带来额外的保障。第一步认证通常是输入自设的帐户登入名称和密码,而第二步认证有多种方法,例如输入由保安编码器产生或由手机短讯发出的一次性密码,生物特征扫描及数码证书是其他的认证方法。

有转帐至未经登记第三者户口经验的网上银行客户,相信不会对双重认证感到陌生,并知道措施能令网上交易加倍安全。双重认证会令黑客难以入侵我们的户口,因为即使盗取了用户的帐户登入名称和密码,黑客亦要想办法取得进行第二重认证的物件或资料,并不是手到拿来的。

双重认证, 2FA, 帐户登入名称和密码, 一次性密码, 手机短讯, 保安编码器, 数码证书, 生物认证

  使用方法 特点
一次性密码

输入由手机短讯发出,或由保安编码器产生的一次性密码。每个一次性密码会在短时间内失效。

保安编码器由银行或经纪行提供,可以是实物,即硬件编码器,或是安装在手机的软件,即软件编码器。

用户只要携带硬件编码器,或安装了软件编码器的手机,就可以在任何地方进行认证。

用户收取手机短讯一次性密码,就不要再用电讯商所提供的短讯转发服务或下载任何可以转发手机短讯的应用程式,以免将所收到的一次性密码转发至其他的手机或电邮地址。

生物认证 一种依据用户独有生物特征的认证,可以是指纹、声纹、虹膜或脸孔扫描。 用户的智能手机需要支援生物特征扫描的功能。
数码证书

用来确认身分的电子证书,可以储存于智能卡例如身份证,或电子钥匙例如 USB 认证钥匙。

在认证过程中将智能卡或钥匙插进智能卡阅读器或 USB 连接埠。

数码证书并非与流动装置广泛相容。

登入时做一次双重认证

双重认证是目前被视为能有效防范黑客入侵的认证机制,有见及此,证券及期货事务监察委员会已要求中介人包括经纪行或银行就客户登入网上投资户口实施双重认证。监管机构未有强制要求采用哪种双重认证方案,中介人可因应自身情况,选用适当的方案。双重认证只须用户在登入户口时进行一次,而非每次落盘都要进行,希望安全与速度两者兼得。

无单一方案可杜绝黑客

双重认证可以为网上证券交易增加保护,但不能完全杜绝黑客入侵。事实上,黑客既然可以利用社交工程攻击骗取帐户登入名称和密码,也可以照办煮碗哄骗大家提供第二重认证的资料和物件,而他们直接偷取大家的手机或保安编码器,亦非绝无可能。

即使有了双重认证,我们亦要自保,日常上网要遵行一些良好习惯,例如不要 root 或 jail break 手机、下载来历不明的应用程式,以及避免透过公共 Wi-Fi 及使用公共场所的电脑,登入网上户口。我们亦要时刻留意自己网上投资户口的交易,并好好保管手机和保安编码器。你可以参阅我们的网站文章《网上交易保安要诀》《时刻留意你的户口》

 

2017年10月27日