|
[財華社新聞] 金管局總裁任志剛在最新一期《觀點》談雙重認證,其全文如下。
本周初金管局與香港銀行公會宣布就高風險的零售網上銀行交易推出雙重認證。
讀者最近可能會收到銀行來信邀請他們申請雙重認證,以供進行高風險的零售網上銀行交易。這項保安措施的推出是網上銀行的重要發展里程,我們希望可藉此打擊愈來愈常出
現的網上銀行詐騙活動。
在2003年6月我們第一次收到有關以本港市民作招徠目標的偽冒銀行網站的報告,其后很快又收到虛假電郵的報告,當中的電郵所附的超連結會將銀行客戶接連至偽冒的銀行網站。這些較早期的個案不難應付,原因是偽冒的登入網頁沒有保安扣鎖或電子證書,我們與銀行的工作因此主要集中於提醒銀行客戶小心注意銀行網站這些重要的保安措施。
其后新的詐騙技倆陸續出現。例如,騙徒甚至可以偽冒網站的保安扣鎖及電子證書資料,亦會將特洛伊軟件暗中植入受害人的個人電腦內,再竊取用戶按鍵的記錄以進行勾當。有見及此,我們教育工作的重點已轉向強調裝設防病毒軟件及個人防火墻的重要,以防銀行客戶的個人電腦受襲。
由於行騙手法層出不窮,單靠核實登入名稱與密碼及教育消費者已不足夠,銀行界於是在2004年6月達成普遍共識,確定雙重認證是適當的對策。所謂「道高一尺,魔高一丈」,不法之徒總可找到繞過認證系統的新方法,我們要物色既可防干擾又萬無一失的雙重認證方法,并不容易。但本港銀行界現已認定三種相信是既有效又簡單易用的雙重認證方法:
不可復制的電子證書 - 在進行網上交易時用來核實身分的電子證書,并儲存於安全的工具或設施內(如香港智能身分證或電子鑰匙);
由保安顯示器發出只用一次的密碼 - 每個密碼只可使用一次,并會在短時間內失效。
通過手機短訊發出只用一次的密碼 - 銀行向客戶的手提電話發出只可使用一次的短訊密碼,作為額外核證之用,以便確認高風險交易等。
有關雙重認證的更多資料,可瀏覽金管局網站(www.hkma.gov.hk)及香港銀行公會網站(www.hkab.org.hk),或親臨金管局資訊中心,以參閱有關單張及互動式電腦游戲。市民亦可向開戶銀行進一步查詢。
據我們了解,全球多個地區的銀行監管機構正在評估網上銀行騙案的影響,并徵詢當地銀行界對網上銀行交易采用雙重認證的意見。香港是全球最先推行這項保安措施的金融市場之一,此舉應有助確保本港網上銀行能繼續在安全穩妥的環境下運作。
| 
