IT業界資訊媒體

【心急人上】用手機一個認證就login,仲係咪「雙重認證」呢?

最近有同事裝咗個獅子銀行網上理財App,棄用原本個保安編碼器,改用手機嘅生物認證功能,看似方便快捷,但轉咗之後,又有啲後悔,點解呢?

原本獅子銀行嘅保安編碼器一向比較難用,所以推出網上理財App,以手機取代保安編碼器。最近加埋生物認證功能,利用指紋認證及面孔辨識技術,一scan即開,而且,唔用指紋,入個密碼都得。正如獅子銀行所講「迅速登入及確認交易,讓理財事半功倍」,更方便,但個同事就覺得好唔實Q牙…

銀行推出網上理財App,以手機取代保安編碼器

網上理財App紛紛加入生物認證功能,可迅速登入及確認交易

用手機,一個認證就可以login,仲係咪「雙重認證」呢?

答案係,仲算「雙重認證」嘅。

根據香港金融管理局解釋,雙重認證(Two-factor authentication)係指「採用兩種不同性質的資料,以核實用戶身分。」,即是「你已知嘅資料」(Something You Know)+「你擁有嘅工具」(Something You Have)。

兩個factor:「你已知嘅資料」就係用戶名稱、密碼;「你擁有嘅工具」就係電子證書、保安顯示器、手機等。而最新嘅生物認證,係一個factor,加埋上述其中一種(例如手機),已經係雙重認證。銀行認到你部手機,又認到密碼,先畀你login。理論上,係安全嘅。

雙重認證(Two-factor authentication)指採用兩種不同性質的資料,以核實用戶身分。

而個同事覺得好唔實Q牙,亦係好正常嘅。

首先,係以前(尤其獅子銀行)嘅保安編碼器認證方式,其實唔止兩重保安:你要入密碼先可啟動粒保安編碼器,然後先可以㩒個保安編碼出來,同時你要輸入用戶名稱,再入密碼再入保安編碼,先至可以login。係麻煩啲,但意味住唔止兩重保安,係幾重認證,依家簡化到最基本嘅兩重,感覺當然冇咁實Q牙。

另外,雖然手機同粒保安編碼器都係device一個,但係,你粒保安編碼器可以收藏,可以鎖入櫃桶夾萬,physically加重保安。最重要,係粒保安編碼器唔會上網,唔會畀人hack。而部手機就日日攞出機,隨手周圍放,實體上有機會被偷,網上亦有機會被hack,係兩回事。

當大量個人資訊、密碼、認證存放於一部智能電話裡面,帶住佢周圍去,玩fb、ig、whatsapp、WeChat、check email,甚麼支付、pay乜呀一嘟就搞掂。

係好方便,可能方便埋hacker同賊仔添。

Security,以及Cyber Security,就係「方便」與「安全」之間嘅拉扯。所有雞蛋放晒入一個籃喎…咁你記得袋穩部手機啦。

金管局網上銀行的保安提示:https://goo.gl/bsCiZk