「雙重認證」到底係咩?銀行幾時先會用?

博客 13:09 2020/02/25

分享:

「雙重認證」到底係咩?銀行幾時先會用?

在早前的文章已簡略介紹過2FA,日常生活我哋亦經常接觸到2FA,你對佢嘅認識又有幾多?今次就為大家以純文字方式好好地解釋到底甚麼是2FA。

你要知道的3個重點:

1. 2FA是一個貌似簡單,卻極為重要的風險管理概念;
2. 2FA即2-Factor Authentication,意即雙重認證。認證方法一般分為3類,分別為What-you-know,What-you-have及What-you-are;
3. 一般而言,在e-banking channel進行High-risk txn(高風險交易)的時候,銀行都會(被)要求客戶進行2FA,作為有效的風險管理措施。

我想大家與我一樣已很少入分行獲得銀行服務,櫃員機、e-banking、Mobile banking、Phone banking才是主要的渠道。有沒有想過以下3個問題呢?

【延伸閱讀】滙豐靠PayMe+信用卡 完勝其他銀行所謂的FinTech?

三個有關身份認證的問題:

問題1:櫃員機提款為甚麼要帶提款卡+密碼,而不可以直接輸入戶口號碼+密碼呢?反之使用存款機的時候,卻可以直接輸入戶口號碼呢?

問題2:為甚麼在使用Phone banking時,在轉賬至(未登記)第三方戶口的時候,除了要輸入密碼外,還要發一個SMS OTP (一次性密碼)給我確認呢?如果我忘記密碼,利用Smart question(例如身份證、出生日期、有幾張附屬卡等)與CS核實身份,為甚麼CS會拒絕為我進行第三方戶口轉賬呢?也就是說,Smart question不能取代密碼嗎?

問題3:以滙豐為例子,以電腦登入e-banking時每次都要輸入密碼及Token驗證碼,但於手機登入卻只需要輸入密碼(或乾脆Touch id指紋登入),手機會比電腦安全嗎?

雙重驗證Two-factor authentication(2FA)

其實以上3個問題都是同一個問題,要一口氣回答,大家要首先明白金管局對High risk transaction(高風險交易) 的監管要求。

打開SPM TM-E-1(4.2.1)這樣說:

 In general, two-factor authentication (2FA) of customers should be implemented for e-banking channels (e.g. self-service terminals, Internet banking, phone banking or even contactless mobile payments) that allow high-risk transactions (e.g. withdrawal of customers’ funds from self-service terminals or funds transfers to unregistered third-party payees)

這裏有幾個關鍵字,e-banking channel包括櫃員機、網上銀行、電話銀行、非接觸式電子支付等,即基本上所有非面對面(non-F2F)、而又牽涉電子的交易都被納入為e-banking channel;另一個關鍵字為High risk transaction,包括轉錢、提款及其他(麻煩你銀行自己諗吓咩叫)高風險的交易。如果個交易中晒呢兩範,咁就麻煩你銀行做2FA喇。

那甚麼叫2FA?打開 SPM TM-E-1 note 11:

Two-factor authentication refers to the use of two out of the three types of factors(i.e.(i)something a customer knows;(ii)something a customer has;and(iii)something a customer is

那即是甚麼?(i)What you know 即是密碼、(ii)What you have即是你袋裏所有的東西,包括手機、提款卡、月結單、身份證、Hard token、Soft token等、(iii)What you are 就是客戶的生物特徵(Biometric characteristics)。

要留意的是,只有密碼屬於(i)What you know,而Smart Question (如身份證號碼是甚麼、有多少張附屬卡等) 是屬於(ii)What you have,因為理論上只要有人拿了你的錢包便一清二楚了,SMS One-Time Password(SMS OTP)也屬於(ii)What you have,因為你是擁有那台手機才收到這個OTP的。

所以整段SPM TM-E-1(4.2.1)的意思便是,所有「非面對面的電子交易」,如牽涉高險交易例如轉賬、存款等,麻煩要用2 out of the 3 types的認證方法核實客戶身份,而這2個方法是「不能」重疊的哦!

3個問題的答案:

問題1:櫃員機提款為甚麼要帶提款卡+密碼,而不可以直接輸入戶口號碼+密碼呢?反之使用存款機的時候,卻可以直接輸入戶口號碼呢?

答案1:提款卡的主要作用並不是「輸入賬戶號碼」,而是作為What you have的認證方法, 配合「密碼」作為what you know構成2FA以認證你的身份並進行提款。存款機雖然屬於e-banking channel,但存款並不屬於High risk txn,故沒有2FA的限制。

問題2:為甚麼在使用Phone banking時,在轉賬至(未登記)第三方戶口的時候,除了要輸入密碼外,還要發一個SMS OTP(一次性密碼)給我確認呢?如果我忘記密碼,利用Smart question(例如身份證、出生日期、有幾張附屬卡等)與CS核實身份,為甚麼CS會拒絕為我進行第三方戶口轉賬呢?也就是說,Smart question不能取代密碼嗎?

答案2:仍然是2FA的問題,SMS OTP是屬於What you have的認證方法(因為你擁有這個手機號碼才能收到這個OTP哦!),配合密碼作為 What you know 便能構成2FA了。而由於Smart questions及SMS OTP都屬於What you have,二者同時使用的時候,便違反了2 out of the 3 types這個規則,故只屬於1FA而並非2FA了。

【延伸閱讀】恒生「無卡提款」美中不足 問題出在……?

問題3:以滙豐為例子,以電腦登入e-banking時每次都要輸入密碼及Token驗證碼,但於手機登入卻只需要輸入密碼(或乾脆Touch id指紋登入),手機會比電腦安全嗎?

答案3:這個可能會較出乎意料地仍然是2FA的問題。以電腦登入e-banking時,密碼屬於What you know,token屬於What you have,所以滿足了2FA的要求。

最有趣的是,以手機Touch ID登入e-banking變已經是2FA了!因為大家首次以新手機登入的時候,一般除了會輸入密碼外,還會外加一個SMS OTP/Token驗證碼,這個動作構成了一個2FA認證你的新手機,使你的新手機成為了新的What you have,然後透過這台已驗證的手機(What you have)輸入密碼(What you know)或指紋(What you are),便形成了一個簡單快捷的2FA了。

補充一點,一般e-banking的登入並不屬於High-risk transaction,是滙豐風險控制特別嚴格而已。

 

【文章來源:華田銀行;已獲授權轉載。原題:銀行小知識 (3) — 所謂 “雙重認証 (2FA) ” 是什麼概念?】

【關於作者】

兒時夢想做i-banker,結果做了bank worker,還要是retail那種。過去在各大小銀行不同部門流徙,叫人借錢、催人還錢、審批貸款、出股票app、出借錢app、出信用卡、廣告策劃、銷售管理、分行佈點、生物認證、電子排隊、機器學習、敏捷開發,到現在還未安定下來。不懂財經、不懂經濟,只想談一下「銀行」這回事。

撰文 : Wallace Tin

欄名 : 華田銀行

緊貼財經時事新聞分析,讚好hket Facebook 專版