[討論] 使用OTP簡訊驗證，對消費者真的有利嗎？

因小弟不是網路資訊安全/法律的專家，以下內容還請大家給予指正，謝謝 ==== 小弟從二個階段性的面向來思考、分析 OTP 簡訊對消者是否真的有利，是否應該採用？ 或是應該回歸到傳統的刷卡方式，也就是只使用卡號、到期日期、末三碼進行驗證 二個階段性面向為： 　　一、使用 OTP 簡訊還有可能被盜用嗎？ 　　二、如果有可能被盜用，盜用金額的支付責任歸屬主要在誰身上？ 　　　　(由銀行或消費者負擔？) 　　靜態的3D驗證碼，根據最近查找的網路資料 　　已經是公認很不安全的做法，所以這裡就不特別提出了。 一、使用 OTP 簡訊還有可能被盜用嗎？ 　　OTP 簡訊在理論上是不夠安全的，因為手機可能因為中木馬 　　導致簡訊內容被截聽。實務上也已經有手機中木馬被操控的新聞 　　　　詐騙木馬侵手機 警傳授移除法 　　　　http://news.ltn.com.tw/news/local/paper/815702 　　因為被動 OTP 簡訊不夠安全，因此刑事局也在推廣 Active OTP驗證 　　　　防詐騙！刑事局與業界聯手推廣手機 Active OTP驗證 | iThome 　　　　http://www.ithome.com.tw/news/86883 二、如果有可能被盜用，盜用金額的支付責任歸屬主要在誰身上？ 　　(由銀行或消費者負擔？) 　　即然不夠安全，就要注意一下如果被盜用，盜刷的金額應該由誰負擔。 　　以網路刷卡很紅的富邦銀行信用卡，其OTP 驗證服務條款為例 　　　　台北富邦銀行MasterCard驗證服務約定事項，摘錄如下 　　　　(https://goo.gl/m2Bna9) 　　　　三. 個人密碼與安全保密 　　　　持卡人同意若機密訊息有遺失、被竊、被其他人知悉、 　　　　冒用、盜用之情事或有發生之虞時，應比照信用卡約定條款 　　　　第十七條卡片遺失、被竊或其它喪失佔有之約定...... 　　 　　何謂信用卡約定條款第十七條 呢？內容摘錄如下 　　　　(https://goo.gl/NMzDS0) 　　　　第十七條（卡片被竊、遺失或其他喪失占有等情形） 　　　　甲方(消費者)自辦理掛失停用手續時起被冒用所發生之損失， 　　　　概由乙方(銀行)負擔 。 　　光這樣看可能會覺得很正常，但如果跟第十八條比， 　　就會發現可能對消費者不利的地方 　　　　第十八條（遭冒用之特殊交易） (https://goo.gl/NMzDS0) 　　　　甲方之信用卡如有遭他人冒用為第九條(註1)特殊交易之情形... 　　　　...甲方(消費者)辦理停卡及換卡手續前被冒用所發生之損失 　　　　概由乙方(銀行)負擔。 　 　　如果我對法條的理解正確，第十七條跟第十八條的差異在於： 　　　　第十七條：辦理掛失前的損失，由消費者自行負擔 　　　　第十八條：辦理掛失前的損失，由銀行負擔 　　　　　　　　（也就是以往大家熟知的，遇到盜刷，銀行會負責） 那何時使用第十七條、何時使用第十八條呢？ 　　如果使用OTP：則根據OTP使用條款，會採用第十七條 　　　　　　　　　掛失前的損失，消費者自行負擔。 　　如果使用傳統刷卡方式：(符合第九條，註1)，則採用第十八條 　　　　　　　　　　　　　　掛失前的損失，由銀行負擔。 結論 (如有誤請大家指正)： 以安全性而言：OTP安全性比傳統刷卡高，但也不是絕對安全。 以對消費者的盜刷付款保護而言：使用傳統刷卡方式，保障高很多。 ------- 註1：第九條的內容摘錄如下，簡單說就是使用傳統的 [卡號、到期日期、末三碼] 刷卡方式 依一般交易習慣或交易特殊性質，其係以郵購、電話訂購、傳真、 網際網路、 行動裝置、自動販賣設備、飯店訂房等其他類似方式訂 購商品、取得服務、 代付費用而使用信用卡付款，或使用信用卡於 自動化設備上預借現金等情形， 乙方得以密碼、電話確認、收貨單 上之簽名、郵寄憑證 或其他得以辨識當事人同一性及確認甲方意思 表示之方式代之， 無須使用簽帳單或當場簽名。 甲方有為前項交易時，不得以未簽名為理由，作為拒繳應付款項之 抗辯。 -- -- 很同意沒有百分百安全的方式，且越便利就可能越不安全，但這邊想釐清的地方是 如果真的不幸被盜刷，誰要負責付款，銀行嗎？還是消費者？ 現在的理解是(有誤請指正)，傳統的方式不夠安全，但出事銀行會扛 OTP 簡訊安全一點，但出事時，銀行可能會視情況不負責 只是想確認理解是否正確，這樣才有完整的資訊可以自行評估(也供大家參考) 要採行什麼方式刷卡，或是停用相關服務 跟富邦客服確認過了，我對條文的理解是正確的。 如果使用驗證，則適用17條，盜刷通知後才由銀行負責。 如果不使用驗證(傳統方式刷卡)，則適用18條，盜刷通知前也由銀行負責。 我完全認同消費者也要善盡保管卡片的責任 但銀行採用了一個不完全安全的機制後，就趁機把原本要負的責任轉給消費者 這種做法也實在是.... 其實應該要反過來，讓消費者權益不縮水的情況下，又有更好的保護 這樣願意使用驗證的消費者會更多，甚至還會反過來跟商家要求應該引進驗證機制 這樣最終對銀行、商店也都好 不知道以短視近利形容目前銀行的做法，是否貼切？
※ 批踢踢實業坊(ptt.cc), 來自: 123.193.134.69
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1445139174.A.39F.html

推 now99: 申請3d驗證，也要店家支援，所以現行制度還是有脫褲子放屁 10/18 11:36

→ now99: 一樣 10/18 11:36

→ now99: 而且申請3d驗證一樣可以去無支援的店家盜刷 10/18 11:37

推 gottsuan: 實務上沒有絕對安全的機制 都是要和成本 便利性等其他 10/18 11:52

→ gottsuan: 現實因素權衡 10/18 11:52

→ gottsuan: 信用卡的交易方式就不是一個安全的方式 是用安全換便利 10/18 11:53

推 bxxl: 我覺得還算安全,除非手機掉了. 原因是就算中了木馬,歹徒盜刷 10/18 12:31

→ bxxl: 簡訊也會傳到你手上. 所以一有盜刷你就會收到簡訊 10/18 12:32

→ bxxl: 信用卡付款沒這麼快,收到莫名簡訊去通知客服還來得及 10/18 12:33

→ paioshau: 感謝樓上，差點忽略這點了 10/18 12:38

推 gottsuan: 傳統方式也不是一定銀行扛風險 還是有責任歸屬問題 10/18 13:06

→ gottsuan: 況且一個機制好壞與否也不是只看持卡人端 也要看銀行端 10/18 13:07

→ gottsuan: 和特店端的風險 10/18 13:07

→ gottsuan: 持卡人把風險都轉嫁給銀行或特店 這樣也不是好的安控啊 10/18 13:07

推 nadoka: OTP已經安全很多了 除非手機信用卡一起掉又被拿去刷... 10/18 13:20

→ nadoka: 問題是一大堆網站根本連3D都沒有啊XD 10/18 13:21

→ dallasman: 持卡人未失卡的情況..何來責任歸屬 10/18 13:21

→ dallasman: 盜刷幾乎都是未失卡的情況呀 10/18 13:21

→ dallasman: 如果OTP被盜刷..還要扯電信公司下水..並不是好方法 10/18 13:24

推 gottsuan: 未失卡被線上3D盜刷 也有可能是持卡人自己流出密碼 10/18 19:11

→ gottsuan: 所以責任是哪方也很難說 10/18 19:11

推 gottsuan: 持卡人串通盜刷詐騙銀行的事情也是有發生過 10/18 19:15

→ dn890221: 未失卡被3D盜刷 已經有很多銀行說持卡人要負責了 就算是 10/18 19:51

→ dn890221: 卡號密碼都被猜中的衰鬼 10/18 19:51

推 artmis200x: 感覺就是雙面刃 只是大部分時候 放便>安全性而已 10/18 20:18

推 cytochrome: 手機中了簡訊攔截的木馬，根本一封簡訊都不會讓你看到 10/19 08:55

→ cytochrome: ，他會直接把寄進來的簡訊隱藏起來 10/19 08:55

推 gottsuan: 簡訊OTP怕手機中"隱蔽+轉發"簡訊的毒 避免方式就是不要 10/19 09:51

→ gottsuan: 用android 用功能型 winowsphone或iphone都沒這個問題 10/19 09:52

推 cytochrome: 其實有問題的話建議可以去金管會和消保會反應，要求修 10/25 19:27

→ cytochrome: 正定型化契約的應記載及不得記載事項，這樣才有可能改 10/25 19:27

→ cytochrome: 變現況 10/25 19:27