|
[财华社新闻] 金管局总裁任志刚在最新一期《观点》谈双重认证,其全文如下。
本周初金管局与香港银行公会宣布就高风险的零售网上银行交易推出双重认证。
读者最近可能会收到银行来信邀请他们申请双重认证,以供进行高风险的零售网上银行交易。这项保安措施的推出是网上银行的重要发展里程,我们希望可藉此打击愈来愈常出
现的网上银行诈骗活动。
在2003年6月我们第一次收到有关以本港市民作招徕目标的伪冒银行网站的报告,其后很快又收到虚假电邮的报告,当中的电邮所附的超连结会将银行客户接连至伪冒的银行网站。这些较早期的个案不难应付,原因是伪冒的登入网页没有保安扣锁或电子证书,我们与银行的工作因此主要集中於提醒银行客户小心注意银行网站这些重要的保安措施。
其后新的诈骗技俩陆续出现。例如,骗徒甚至可以伪冒网站的保安扣锁及电子证书资料,亦会将特洛伊软件暗中植入受害人的个人电脑内,再窃取用户按键的记录以进行勾当。有见及此,我们教育工作的重点已转向强调装设防病毒软件及个人防火墙的重要,以防银行客户的个人电脑受袭。
由於行骗手法层出不穷,单靠核实登入名称与密码及教育消费者已不足够,银行界於是在2004年6月达成普遍共识,确定双重认证是适当的对策。所谓「道高一尺,魔高一丈」,不法之徒总可找到绕过认证系统的新方法,我们要物色既可防干扰又万无一失的双重认证方法,并不容易。但本港银行界现已认定三种相信是既有效又简单易用的双重认证方法:
不可复制的电子证书 - 在进行网上交易时用来核实身分的电子证书,并储存於安全的工具或设施内(如香港智能身分证或电子钥匙);
由保安显示器发出只用一次的密码 - 每个密码只可使用一次,并会在短时间内失效。
通过手机短讯发出只用一次的密码 - 银行向客户的手提电话发出只可使用一次的短讯密码,作为额外核证之用,以便确认高风险交易等。
有关双重认证的更多资料,可浏览金管局网站(www.hkma.gov.hk)及香港银行公会网站(www.hkab.org.hk),或亲临金管局资讯中心,以参阅有关单张及互动式电脑游戏。市民亦可向开户银行进一步查询。
据我们了解,全球多个地区的银行监管机构正在评估网上银行骗案的影响,并徵询当地银行界对网上银行交易采用双重认证的意见。香港是全球最先推行这项保安措施的金融市场之一,此举应有助确保本港网上银行能继续在安全稳妥的环境下运作。
| 
