[討論] 麥當勞app的支付密碼是不是形同虛設

如題 前幾天下載重新安裝 發現只要用手機號碼和密碼登入 app居然會直接問你要不要開生物辨識 過程中完全不需要收簡訊 或輸入「任何一次」支付密碼進行驗證 (那這支付密碼到底要幹嘛) 你各位儲好儲滿的自己注意一下 -- 至少希望能像做到其他支付 要輸入一次支付密碼後才能開啟生物辨識 沒看懂我的問題 我的問題是 如果你麥當勞和別的網站共用密碼 別的網站出包了 我只要用你這組手機密碼登入「我的手機」 打開生物辨識 用「我的生物辨識」 就可以直接付款 完全不需要知道「你的支付密碼」 有請雙機的朋友試了結果一樣 另外朋友說登入新裝置舊的會被登出 這部分還不錯 本篇和生物辨識安不安全無關 而是完全不需要第二道密碼就能直接開啟生物辨識 不太懂xu大所謂我的你的 但若xu大使用另一裝置登看看應該就懂 和舊裝置設定的生物辨識完全無關 使用新裝置自身設定的生物辨識就能開啟生物辨識功能並直接付款了 是的 不用支付密碼打開生物辨識就可以付款 雖然消費記錄很好查 但也很浪費時間 我沒說我使用的是萬用密碼哈哈哈 單純不希望有天看到有人被盜 應該都有 但若真遇到就要花點時間處理了 別 本人只是個愛用者 希望程式更加安全完善 僅此而已～ XD
※ 批踢踢實業坊(ptt.cc), 來自: 101.136.145.107 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MobilePay/M.1682156411.A.422.html

推 kkkk1234: 是04/22 17:50

→ Sheng98: 支付密碼就要用點點卡 QRcode 付款或是儲值時才會用到04/22 17:51

→ aalittle: 父子騎驢,用了生物辨識還要支付密碼,就換另一派嫌麻煩04/22 17:52

→ Sheng98: 生物辨識開啟後非手機持有人不能用生物辨識, 可以在辨識04/22 17:54

→ Sheng98: 時取消辨識改用密碼輸入04/22 17:54

→ Sheng98: 又不是開了生物辨識後, 密碼功能直接廢掉, 有時候手指指04/22 17:55

→ Sheng98: 紋辨識不出來時, 還有原本的密碼方式當備用04/22 17:55

→ Sheng98: 如故是說開啟生物驗證沒有先密碼確認的話就是個問題了04/22 17:57

→ Sheng98: 如果04/22 17:57

推 mike0608: 換裝置也不會確認嗎？有人要試試嗎？04/22 18:03

推 misu2718: 換裝置完全沒差，一樣只要支付密碼，有人知道怎麼關詢04/22 18:19

→ misu2718: 問是否快速開啟的視窗嗎04/22 18:19

→ misu2718: 輸入帳密登入問一次，輸入支付帳密又問一次04/22 18:20

→ misu2718: 因為我都只用帳密登入，詢問生物辨識很煩04/22 18:24

噓 imrt: applepay 直接認臉就刷了。都用指紋了，不覺得需要擔心。04/22 19:58

推 kevenshih: 早就改吃肯德基了04/22 19:59

→ kevenshih: 怕就不要用app, 直接用點點卡就好，這種不會做成金融04/22 20:00

→ kevenshih: 等級的04/22 20:00

→ xu3: 我的生物辨識是”你”存在手機裡的那組，別人有帳號密碼也無04/22 20:03

→ xu3: 法使用，除非輸入支付密碼04/22 20:03

→ prussian: 他是說，密碼被幹走的話就可以在別的手機上花你帳戶儲值04/22 20:12

→ prussian: 這麼怕死，結果很放心地把有錢的萬用密碼交給一個不知道04/22 20:14

→ prussian: 會不會明碼儲存密碼的業者.. 你的偏執用錯地方了。04/22 20:14

→ prussian: 這年頭笨到明碼儲存密碼的業者已經很少了，駭這個不值得04/22 20:19

→ prussian: 個資幹出來之後拿去賣詐騙比較簡單好賺04/22 20:19

→ mnxzq: 沒差吧 被盜就報警 麥當勞櫃檯應該都有監視器吧04/22 20:29

→ SHENG2014: 又不是要轉帳只是付麥當勞費用，何必要簡訊04/22 21:29

→ sinclaireche: 看它生物辨識的部分怎麼實作的04/22 21:40

→ sinclaireche: 看了下原Po說的狀況 換機不用輸 那應該不是FIDO了04/22 21:42

→ sinclaireche: 如果是只有原機重裝不用登 那可以猜是不是FIDO04/22 21:42

→ kkkk1234: 看來很多人都看不懂問題在哪 有常在切帳號的應該早就發04/22 23:39

→ kkkk1234: 現這個嚴重的bug了 簡單來說「有登入帳密+任一支援生物04/22 23:39

→ kkkk1234: 辨識的手機，即可免支付密碼使用支付功能」04/22 23:39

推 ericsg: 說那麼多 就是沒有雙因子認證 一句解決04/22 23:50

推 jamesweb3: 看起來麥當勞設計支付密碼並非當作雙因子的用途04/23 00:41

推 EPIRB406: 非支付級app就沒那麼嚴謹啦！04/23 00:43

→ prussian: 也許一開始只是個很爛的會員app還沒關係,但加上交易功04/23 01:31

→ prussian: 能後認證還是這樣隨便的話,哪天上新聞也真的不用太意外04/23 01:31

→ sfwejfish: 印象前不久有速食店的case？最後判多少錢04/23 12:26

→ iueeng: 記得百貨的happygo 也不用收簡訊設完六位密碼開啟生物辨04/24 05:20

→ iueeng: 識就可以支付了，line pay 悠遊付也是沒收簡訊只有綁卡有04/24 05:20

→ iueeng: 簡訊驗證，之後啟動生物辨識取代六位數字密碼，就沒有簡04/24 05:20

→ iueeng: 訊才需要 上鎖，六位密碼通常驗證指紋失敗才會出現04/24 05:20

推 mike0608: LINE Pay第一次開需要輸入支付密碼，才能使用生物辨識04/24 08:55

→ mike0608: 這樣才是正常設計04/24 08:56

→ LMgogo: 你可以低調嗎04/24 15:48

→ kkkk1234: 解決提出問題的人？？？04/24 17:01

→ j49222106: 不能解決問題，但是能解決有問題的人04/24 19:18

→ j49222106: 這句話是從卡XX新聞聽來的 04/25 00:50