(吉隆坡30日讯)国家银行宣布将取消以短讯发送一次性密码(OTP)的措施引起议论,此举的可行性和是否能有效打击金融诈骗,备受关注。
网络安全服务公司LGMS首席执行员兼网络安全顾问冯宗福坦言,OTP验证还是最安全的方式之一,只是需要改变其生成方式。
他接受《东方日报》访问指出,国行宣布欲取消的是以短讯方式发送的OTP,与直接取消OTP有本质上的不同。
他认为取消短讯发送OTP是可行的,将有助于降低金融诈骗,因为短讯相对于其他生成方式,更容易被骇或被盗用。
他解释,诈骗集团在骇入手机时能更轻易的获得短讯上的讯息,而若是使用其他方式,如手机应用程序生成OTP,会更有保障。
他说,取消以短讯发送OTP后,可以用其他方式,如软件令牌(software token)和硬件令牌(hardware token)的方式生成OTP。
他以马银行(Maybank)为例,该银行已推行手机应用程式Secure2u作为生成OTP的方式,即在需要输入OTP时,可以点击链接从Secure2u获得OTP。
他补充,此方案就是利用软件令牌生成OTP,其好处是能让不法份子更难骇入以获得OTP。
而汇丰银行(HSBC)则使用了硬件令牌的方式来预防OTP被盗用,即该银行会发放可携带式安全密码器,必须从密码器获得OTP才能继续进行交易。
他强调,OTP的安全性是毋庸置疑的,但其生成方式可以再加强,事实上,许多银行都已经开始舍弃以短讯发送OTP,而改以其他方式进行。
近期发生多宗金融诈骗案导致人心惶惶,许多现身说法的受害者表示,他们是在不知情的状况下被盗走OTP,甚至在没有OTP的状况下被不法份子盗取银行内的血汗钱,令他们欲哭无泪。
国行日前终于开腔表示,将落实5大措施预防金融诈骗,其中就包括取消以短讯发送OTP给客户。
大马银行公会执行董事卡帕纳则指出,一些银行很大程度上已经放弃以短讯发送OTP,而尚未落实此类措施的银行,也已经加速跟进其他银行的脚步。
