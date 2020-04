▲ 【FinTech】滙豐的「聲紋認證」登記比Citibank複雜 全因認證定位唔同?

繼續「聲紋認證」系列第三篇,第一篇就講咗滙豐同花旗兩間銀行所用嘅「聲紋認證」技術有咩分別。第二篇就講解咗呢兩間銀行喺「登記大家把聲」嘅方法有咩唔同,基本上花旗就喺流程上完勝滙豐喇。雖然係咁,點解個流程上會有咁大差別嘅呢?

喺最後華田留咗一個問題畀大家:「點解花旗個Solution答幾句Smart question就可以登記把聲,但係滙豐要又入Phone PIN又入OTP呢?」

咁呢個就關係到呢兩個「看似一樣」嘅聲紋認證技術有住根本「完全唔同」嘅Proposition,從本質上睇一個係屬於Strong authentication、而另一個係Weak authentication,佢哋想照顧嘅客人、可以做嘅交易、風險胃納等等其實都完全唔同。

今次就會講吓到底有幾唔同喇。

Authentication有強弱

首先要明白Authentication都有強弱之分。唔知大家有無呢個經驗,當大家打上去Call centre waive信用卡年費,如果你唔記得(或者根本唔知)自己Phone banking密碼,只要答幾句Smart question基本上CS都會肯幫你做;但係如果打去General banking hotline去問自己戶口有幾多錢,如果你唔記得自己密碼,Sorry,多數情況下CS係根本唔會問Smart question、而會選擇直接唔答你。

點解呢?呢個就牽涉到銀行對於「認證方法」係有偏好嘅,其中Smart question就屬於銀行最討厭嘅類別,因為佢被盜用嘅機會最高,有幾多張附屬卡、用咩方法還款、喺我哋銀行有無戶口、身份證尾4位數係幾多,呢啲所謂嘅「Smart」question,老公老婆阿爸阿媽有心知就一定會知,咁試問又有幾保安呢?

所以事實上銀行充其量只會將Smart question界定為一種Weak authentication method,如果要做高風險交易,好多時都唔會將Smart question當做其中一種認證嘅方法,如果2FA要到用「What you have」嘅時候,銀行只會選擇SMS OTP或者Soft/hard token,而極少會考慮Smart question喇。

咁點解Call centre又會答你信用卡問題呢?因為風險好低,10個客有9個都係Waive年費、利息、遲還罰款,就算冒認,輸嘅都係銀行;而如果你用Smart question認證,跟住再話要改地址,個CS好可能就會叫你用密碼(What you know)認證咗身份先(剛剛試咗恒生會咁樣做,但係Citibank仍然畀你過),跟住再Send SMSOTP(what you have)先肯幫你做,其實Smart question都係What you have啫,點解唔得呢?

因為銀行自己根本唔信Smart question咯!

呢個亦都解釋咗點解General banking hotline唔用Smart question,喂,大嗱嗱個客戶口有幾多錢喎,咁輕易話喺個電話度話畀人知你有幾多身家,實畀人投訴到暈啦,明未?

花旗為減省煩瑣步驟

當大家明咗原來Smart question係幾咁Smart嘅時候,就可以返嚟正題喇。

大家可以用Smart question(1FA、仲要係Weak嘅)就能夠登記花旗的Voiceprint,就表示當大家以自己的聲音做認證的時候,就只會有用Smart question認證的威力,你的聲音=你答啱咗Smart question了。

大家望多一次花旗張Banner入面每一隻細字:

「讓您省卻回簽多條驗證問題的煩瑣」呢個就係重點喇。

所以話花旗嘅Voice authentication只係一種Weak authentication method,用聲音登入的話,最多只可以做一啲簡單同死唔到人嘅Transaction。

所以未必需要去到「轉賬」呢類嘅「超高風險交易」,剩係買股票呢類「中風險交易」就已經要用多一重認證去確認你嘅身份喇。

至於一啲本來就需要2FA嘅「高風險交易」就好睇銀行本身嘅風險胃納(Risk appetite)喇,剛剛試咗花旗用Smart question/voice+OTP信用卡改地址係OK嘅,但係恒生就Smart question加OTP就話唔得,所以要睇銀行同埋交易種類喇。

另一個關鍵位,就在於本身呢個Voice print喺登記嗰陣佢背後嘅認證方法,如果只係用Smart question嚟支持的話,就代表呢個Voice print本身就超級弱,銀行嘅風險就會比較高;但係如果本身係用Phone PIN嚟支持的話(即係登記之前入過密碼嚟認證身份),呢個Voice print就比較強,銀行嘅風險就低些少喇。

但係講到尾,呢個Voice print仍然都只係1FA支持,風險仍然比2FA高得多喇!

滙豐目標可做較高風險交易

相反如果要在滙豐登記自己的聲音,因為要同時用Phone PIN+SMS OTP作2FA雙重認證,所以係一個Strong authentication。如果大家喺滙豐用自己嘅聲音登入,情況就等於你用Phone PIN登入一樣,你問乜基本上CS都會答你喇。

同樣道理如果做一啲中等風險程度嘅交易,例如買股票咁,一樣可以自由使用,CS唔會問長問短架喇。

咁如果要做高風險交易例如轉賬、改地址等等,用聲音(What you are)再加一個SMS OTP(What you have),情況就等於Call centre BAU做緊嘅Phone PIN+SMS OTP,CS都一定會幫你做喇。

兩行「聲紋」認證定位不一樣

我諗如果大家睇到呢度仲未暈的話,就應該已經明白點解滙豐嗰個登記方法咁複雜、而花旗嗰個咁簡單。

因為滙豐從一開始就想將Voice定性為Phone PIN嘅替代品,所以一定要配合Phone PIN+SMS OTP雙重認證呢一個Voice print嘅真確性,成為一個Strong authentication method方便之後用嚟做其他高風險交易。

而花旗呢,就從一開始就想將Voice定性為Smart question嘅替代品,用嚟處理一啲簡單嘅查詢,如果需要做中等風險交易就要個客用SMS OTP做多一重認證,極高風險嘅交易就再做其他配套措施搭救(例如Post-txn SMS、限制交易上限等等),再頂唔順嘅,就索性叫佢入返密碼+SMS OTP做2FA咯!

【文章來源:華田銀行;已獲授權轉載。原題:銀行閑談(82) — 為什麼登記匯豐的「聲紋認證」要比花旗的要複雜得多呢?】

