香港網上銀行2FA完全指南
了解香港銀行使用的不同雙重驗證方式,以及如何為帳戶配置最強保護。
了解香港銀行使用的不同雙重驗證方式,以及如何為帳戶配置最強保護。
單靠密碼已不足以保護網上銀行帳戶。密碼會被網絡釣魚攻擊竊取、在無關網站的數據洩露中外洩、被自動化工具透過憑證填充猜出,或被感染設備上的malware捕獲。鑑於憑證填充攻擊——即將一次洩露中的用戶名/密碼組合自動測試於銀行入口網站——以驚人頻率成功獲取帳戶訪問權,在缺乏第二重驗證因素的情況下,一個被盜的密碼意味著攻擊者可完全訪問帳戶。
雙重驗證(2FA)要求在密碼之外另行持有第二重驗證因素,方可獲得訪問權限。即使攻擊者以任何方式獲得你的銀行密碼,若未能同時取得第二重驗證因素,也無法登入。保護強度完全取決於所使用的2FA類型——並非所有第二重驗證因素同樣能抵禦攻擊。香港銀行最常見的短訊OTP,遠比驗證器應用程式的TOTP代碼或硬件安全密鑰脆弱。
香港金融管理局的監管政策手冊已逐步加強對零售銀行多重身份驗證的要求,尤其是高風險操作(如大額轉帳及新增收款人)。所有主要香港零售銀行現均要求某種形式的2FA才能訪問網上銀行。然而,具體提供的類型因銀行及渠道(手機應用程式、桌面瀏覽器或電話銀行)而異,某些2FA實施方式的安全性遠高於其他方式。了解這一差異,是為帳戶選擇最強可用選項的關鍵。
短訊OTP(一次性密碼)因其簡單易用,是香港銀行部署最廣泛的2FA方式。每當需要驗證時,一組六位數字代碼便會發送至你的已登記手機號碼。弱點在於短訊渠道本身:SIM卡調換允許攻擊者在詐騙者控制的SIM卡上接收你的短訊;全球電話網絡的SS7協議漏洞允許複雜的攻擊者在傳輸途中攔截短訊;而實時釣魚套件則在30至60秒的有效期內,將受害人輸入的OTP轉發至真實銀行入口網站。儘管存在這些弱點,短訊OTP仍遠勝於完全沒有2FA。
銀行專屬手機令牌——如匯豐的手機保安編碼器、恒生的手機保安編碼,以及類似的應用程式內驗證器——在銀行自己的手機應用程式中生成TOTP代碼,而非透過短訊發送。這些方式比短訊更安全,因為它們不經過不安全的電話網絡、不受SIM卡調換影響,且需要持有已登記的設備。許多香港銀行亦提供推送通知審批——即登入嘗試會觸發應用程式內的提示,要求你批准——比輸入代碼更能抵禦釣魚攻擊,因為提示顯示的是交易詳情,而非僅供複製的代碼。
硬件安全密鑰(FIDO2/WebAuthn),如YubiKey,代表網上銀行最強的可用2FA,且對實時釣魚完全免疫——密鑰的加密挑戰響應機制將驗證綁定至特定來源域名,意味著釣魚網站無法將驗證中繼至真實銀行入口網站。目前,極少數香港零售銀行支持消費者銀行使用FIDO2密鑰;這是市場上的一個缺口。在無法使用時,銀行自己的手機應用程式令牌或推送通知代表次優選擇,應始終優先於短訊OTP。
匯豐的個人網上銀行及手機應用程式支持手機保安編碼器——匯豐香港手機應用程式內的TOTP生成器——以及用於應用程式登入的生物識別驗證。匯豐客戶應在應用程式設定中啟動手機保安編碼器,並盡可能停用短訊OTP備用方案,因為應用程式內令牌的安全性明顯更高。匯豐卓越理財或卓越私人客戶可向分行查詢硬件令牌的供應情況。
恒生銀行的網上銀行使用整合於恒生手機應用程式的手機保安編碼進行交易驗證。該令牌在應用程式內生成基於時間的OTP,並與設備登記綁定。恒生客戶應確保其應用程式已在主要設備上登記,且設備登記時需發出通知——若新設備嘗試登記,這將提醒你。中國銀行(香港)同樣在其手機應用程式內提供電子保安編碼。
渣打香港使用應用程式內生物識別驗證及其自家手機保安密鑰。星展香港的DBS digibank應用程式提供生物識別登入及應用程式內OTP生成。對於所有香港銀行,訪問手機銀行應用程式的安全設定部分,或聯絡關係經理請求升級至最強可用2FA,是值得投入時間的。許多銀行還為高價值或新收款人交易提供可獨立配置的額外驗證要求——申請這些增強控制措施,只在風險最高的時刻增加摩擦。
SIM卡調換——又稱SIM卡劫持——是一種攻擊,詐騙者說服你的流動網絡商將你的電話號碼轉移至他們控制的SIM卡上。一旦成功,他們便能接收發送至你號碼的所有來電和短訊,包括銀行OTP、密碼重設碼,以及與該號碼關聯的每項服務的驗證訊息。對銀行安全的後果十分嚴峻:有了你的電話號碼以及透過釣魚或數據洩露獲得的密碼,攻擊者便擁有了訪問帳戶及繞過基於短訊的2FA所需的一切。
SIM卡調換攻擊通常利用流動網絡商的客服流程——攻擊者致電網絡商,聲稱自己就是你,提供從社交媒體或暗網購得的身份資料(出生日期、香港身份證部分號碼、地址),以「遺失」或「損壞」的手機為由申請更換SIM卡。各網絡商對SIM卡更換所要求的核實標準不盡相同。為保護自己,請聯絡你的流動網絡商(數碼通、香港電訊/PCCW、中國移動香港或其他)查詢更換SIM卡所需的核實方式,以及是否可為帳戶添加安全PIN碼或密碼。
防範SIM卡調換對銀行安全影響的最可靠方法,是根本不依賴短訊OTP進行任何銀行驗證。按上文所述遷移至銀行的應用程式內驗證器,並對觸發銀行相關通知的電郵帳戶及其他服務採用同樣方法。如任何服務的短訊2FA不可避免,請留意手機是否意外失去信號——若你的SIM卡被調換,你的手機將顯示無網絡——並在意外失去服務時立即聯絡網絡商。
