OTP存在弱點

先看一則外地新聞。星加坡金融監管機構於7月初發出指示,當地的銀行必須在三個月之內停止使用一次性密碼(One Time Password,簡稱OTP),目的主要是控制網上釣魚襲擊的風險,加強保障使用者利益。所謂OTP,是二次認證方法之一,而最常見的方式是向使用者已登記的手提電話發送一則SMS,內有一次性4至8位數字,使用者在指定時限內輸入這組數字才可完成交易。OTP在過去被視為穩妥,而且肯定比沒有OTP多一重保障。但隨著資訊聯繫升級,各種竊取資訊方式細緻化,OTP已不足以應付。不法份子取得OTP有多種途徑,例如網絡釣魚、假網站、截取SMS等。星加坡正因假網頁及釣魚泛濫而及早行動。取代OTP有很多工具,包括利用軟件內功能、使用編碼器、實物密碼器、利用登記裝置識別等。一些較注重資訊安全的金融機構早已轉用這些方法,但在特區OTP仍廣泛被利用作登入賬戶、更改私人資料、重設密碼、確定賬戶交易等。至今未見特區金管局採取任何措施提升這些數碼交易的安全。事實上,過往特區亦發生過多宗OTP被盜取的事件,再不強化守則將落後於形勢。


其它問題不容忽視

OTP不但未能符合現今的網絡資訊安全要求,而且還存在其它安全隱患。首先是私隱,SMS並非加密處理,傳輸過程經過多個第三方,不但容易被人攔截,且當中的訊息已經透露太多資訊。發訊者可能在訊息中表明身份,代表你與發訊者有關聯,有需要時可向關聯者入手取得你的其它資訊。收取短訊的時間就是進行交易的時間。短訊內容經常表明目的,例如你正在購買,或進行大額交易,這些訊息給予騙徒進行精準釣魚。例如你完成交易後忽然收到一個短訊指交易異常,因為關聯性高,較大機會跟從指示而中招。另一方面,OTP一旦發送便進入你的手機之內,你沒有拒絕的選項。若果用家不積極控制手機權限,大量程式便擁有授權取得SMS,不良程式讀取你的OTP機會大增。亦有惡意程式是專門截取SMS,但要入侵某軟件內的功能就有一定難度,若軟件限制畫面截取,利用軟件內功能作交易核實,安全度相對較高。若OTP是用作取回賬戶或重設密碼,代表電訊商有足夠資訊進行相關動作,萬一電訊商有內鬼或系統有漏洞,又或被政權要求配合行動,賬戶就可落入他人手中。類似事件已經發生多次,通訊商配合政權入侵個人賬戶,甚至利用國際漫遊網絡漏洞,將目標手機送上國際漫遊網,然後截取SMS。

(Freepik)
(Freepik)


提升認證安全有法

大眾不要等政府或第三方作為,應直接採取行動控制風險。筆者建議如下。首先制定一份個人賬戶登入清單,把所有登入賬戶分類列出。淸單非常實用,可有系統地管理賬戶及密碼,筆者利用離線密碼管理軟件協助保持清單。請逐一檢視所有賬戶找出二次認證的安排,查詢登入、更改密碼、更新私人資料、交易等,任何使用短訊OTP,請查看系統是否提供另一選擇方案,例如電郵,編碼器軟件等,如有請馬上更改。如果不提供選項,你必須衡量賬戶的風險,然後決定是否更改供應商。筆者建議,電郵、雲端儲存、點對點加密即時通訊及金融賬戶都應使用非短訊OTP,敏感交易敏亦要選擇非短訊OTP。請查閱有否另一道防線,若有請開啟。例如即時通訊軟件,必須收取OTP用作轉移賬戶,但用戶仍可啟動另一PIN,OTP加PIN才能完成程序。OTP很多時是第二防線,但第一道防線必須做好,包括強勁的賬戶密碼並經常更改,進行交易時請確保連線處於點對點加密狀態,且時刻保持警覺,尤其完成交易後短期內收到的看似有關聯的資訊。順帶一提,不管是OTP與否,所有SMS都是私隱大敵,早應淘汰。檢視OTP同時,應順帶賬戶利用SMS作通知的情況,如有應更改選項,甚至更換服務供應商。
數碼世界幾乎沒有界限,所以眼界亦不能停留於本地。面對詐騙手法不斷升級,相應防護亦要不斷提升。大眾宜多加留意全球發展及新聞,不同的媒體,就可獲得更全面的觀點。◇

 

------------------

🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand