※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1721378830.A.5B3.html
→ brokeback : 永豐也開始了 07/19 16:49
推 Friday : 識別碼的原理是什麼呢? 為何這樣能避免釣魚網站 07/19 16:51
推 Kazamatsuri : 之前有新聞了,這個算通知晚了 07/19 16:53
→ Kazamatsuri : 應該6月中大家都上線了 07/19 16:54
推 Kazamatsuri : #1cLq5yco (creditcard) 5月底的新聞 07/19 16:57
→ Kazamatsuri : 至少我這陣子有線上刷卡發OTP的都有這個機制 07/19 16:57
推 Kazamatsuri : 我這陣子用台中銀刷也有選擇驗證碼的選項了 07/19 17:02
推 vyvian : 既然顯示於網頁上,表示釣魚網站就能抓到資料 07/19 17:06
→ vyvian : 所以一樣防不住釣魚網站,只是讓釣魚工作變麻煩而已 07/19 17:07
→ KAOKCH : 不,網頁識別碼技術是唯一的,詳細記錄該網站資訊,以 07/19 17:09
→ KAOKCH : 此辨識釣魚網站 07/19 17:09
推 vyvian : 使用者->釣魚網站->真的網站 這是輸入卡號階段 07/19 17:50
→ vyvian : 然後系統發送OTP給使用者,網頁導向驗證頁面。 07/19 17:50
→ vyvian : 釣魚網站可以拿到這個驗證頁面。再顯示給使用者看 07/19 17:51
→ vyvian : 所以一樣防不了網路釣魚 07/19 17:52
→ vyvian : 人家都要淘汰簡訊OTP了。我們還在用不安全的東西 07/19 17:53
→ vyvian : https://www.ithome.com.tw/news/163923 07/19 17:54
推 sggs : 網頁驗證碼只有銀行跟使用者的簡訊有,釣魚網站要 07/19 17:54
→ sggs : 拿到要另外想方法 07/19 17:54
推 vyvian : 你輸入完卡號之後,就會跳去驗證頁面,上面就顯示 07/19 17:56
→ vyvian : 網頁驗證碼了,這不就被釣魚網站拿走了嗎? 07/19 17:57
→ vyvian : 因為你卡號就已經給了釣魚網站,他當然可以拿到 07/19 17:57
推 nanababa : 感覺比較不會被盜刷 07/19 18:24
噓 cytochrome : 好的不學學一堆智障的東西 07/19 18:48
→ cytochrome : 以後乾脆叫使用者在刷卡授權驗證頁面手動輸入要刷 07/19 18:48
→ cytochrome : 的幣別和金額好了 07/19 18:48
→ cytochrome : 低能惡搞消費者的政策,愈活愈回去 07/19 18:48
推 jack168168tw: 永豐也有 07/19 19:42
→ cityport : 一點用處都沒有的東西 07/19 22:06
→ cityport : 驗證碼如果用商家的名字,四個商家選一個,當你沒看 07/19 22:26
→ cityport : 到真實網站的名字,你就會知道中了釣魚網站,硬點下 07/19 22:26
→ cityport : 去就強制跳到聯信資料庫裡的網址,釣魚網站就釣不到 07/19 22:26
→ cityport : 國外都改成直接識別商家,台灣還在史前遺跡驗證碼 07/19 22:27
噓 andy0055 : 再怎麼防都防不了人心!萬惡之源[我以為] 07/19 22:31
推 Kazamatsuri : 商家不用OTP最好 07/19 22:42
→ flypenguin : OTP 越來越浪費時間了…能不能導入綁定裝置確認就好 07/19 23:42
推 QQ5566 : 討論資安沒用 太深入的東西沒人願意懂 07/20 00:56
推 Kazamatsuri : 叫商家跟支付不要再用OTP線上交易或綁卡啊~ 07/20 01:55
→ aiyowaya : 就是要防止上次那個3d認證但還是被冒用的問題啊 07/20 02:14
→ aiyowaya : 但總覺得道高沒有魔高啦 07/20 02:14
推 terfd : 只是拖慢被釣的速度而已 乾脆回答10個問題才能付款 07/20 12:46
推 away612101 : 畢竟太好用,只要OTP就能甩鍋,當然要爆改假裝安全 07/20 13:39
→ away612101 : 商家怎麼可能不用,只要交易手續費沒差別 07/20 13:42
→ away612101 : 連交易資訊都不用留,出事就只要一句,是OTP 07/20 13:42
推 cytochrome : 要求使用者挑選消費商家的名字真的是個好主意耶! 07/20 14:06
→ Kazamatsuri : 照某些邏輯 把驗證碼改為商家名一樣會被攔截釣魚啊~ 07/20 14:09
推 paul40807 : 永豐遇過啊 07/20 14:50
→ kaltu : 無法辨識opt是否有被攔截的機制一直改東改西到底有 07/21 02:04
→ kaltu : 什麼意義 07/21 02:04
→ kaltu : 現在的問題是opt只要被盜,銀行就會主動配合詐騙集 07/21 02:04
→ kaltu : 團出金 07/21 02:04
→ kaltu : 網頁識別碼這種識別刷卡商家的東西又不是主要問題, 07/21 02:04
→ kaltu : 而且擷取網頁識別碼又不是多難辦到的事情 07/21 02:04
→ kaltu : 與其搞手動opt不如把opt打包起來用手機的生物認證或 07/21 02:04
→ kaltu : pass key 07/21 02:04
→ kaltu : 要消費的時候手機銀行App確認指紋或臉部掃描授權, 07/21 02:04
→ kaltu : 通過了才在後台用密碼學機制跟銀行回報通過,包含幾 07/21 02:04
→ kaltu : 點幾分哪個pass key裝置用什麼生物認證授權的,這樣 07/21 02:04
→ kaltu : 遠比隨便都被盜的opt更符合那什麼鬼「不可否認性」 07/21 02:04
→ kaltu : 概念和架構跟opt一樣唯一的差別是使用者從頭到尾都 07/21 02:04
→ kaltu : 不知道opt是多少,所以也根本沒有機會被盜走 07/21 02:04
→ kaltu : 而且因為這種opt一刻都沒有離開過銀行控制的系統( 07/21 02:04
→ kaltu : 簡訊、email、使用者的大腦、輸入的瀏覽器)這樣還 07/21 02:04
→ kaltu : 被盜就100%是銀行的鍋 07/21 02:04
→ kaltu : 沒手機的商業客戶也可以要求用預先綁定好的Windows 07/21 02:07
→ kaltu : Hello之類的臉部IR和指紋 07/21 02:07
→ kaltu : 手動動態密碼這種東西真的該淘汰了 07/21 02:07
推 cytochrome : 樓上的構想很好,但基於個人資料保護及其他法規的 07/21 02:28
→ cytochrome : 大架構下,這涉及太多個人資料蒐集處理利用及與法 07/21 02:28
→ cytochrome : 遵的議題 07/21 02:28
→ cytochrome : 實際生活中,有些人手機裡留存就超過“一個人”以 07/21 02:28
→ cytochrome : 上的指紋了,大科技提供終端裝置對於“使用者人” 07/21 02:28
→ cytochrome : 的識別及驗證,在實際法律上是否具有足夠的不可否 07/21 02:28
→ cytochrome : 認性,在法律攻防上應該是個值得討論的主題,除非 07/21 02:28
→ cytochrome : 使用一樣會被詐騙集團濫用的(行動或實體)自然人憑 07/21 02:28
→ cytochrome : 證,經電子簽署後才具有不可否認性 07/21 02:28
→ cytochrome : BTW,有人被詐騙集團叫去辦自然人憑證就真的跑去辦 07/21 02:28
→ cytochrome : ,辦完之後把卡片和密碼給詐騙集團,怪誰? 07/21 02:28
推 okgogogo : 不防詐騙 07/24 14:14