香港網上銀行2FA:您需要了解的一切
滙豐、恒生、中銀、渣打及其他香港銀行如何實施雙重認證——以及如何確保您使用最安全的選項。
滙豐、恒生、中銀、渣打及其他香港銀行如何實施雙重認證——以及如何確保您使用最安全的選項。
香港主要銀行在流動銀行安全方面投入大量資源,大致上以整合式流動應用程式驗證取代了舊式實體安全令牌。大多數香港銀行不再要求使用獨立的硬件令牌或第三方驗證應用程式,而是將2FA直接整合至其自家銀行應用程式中。當您在電腦上登入網上銀行時,銀行會向您的智能手機應用程式發送一個批准請求——您透過 to Spot and Avoid Attacks on Your Phone">手機上的生物特徵識別來驗證並批准交易或登入。
這種以應用程式為中心的方式有其優缺點。優點在於緊密整合:銀行控制整個驗證鏈,可監控異常情況,如來自新位置的登入嘗試或異常交易模式。缺點是依賴性強:您的銀行存取完全依賴某一特定裝置上的某一特定應用程式。若您遺失手機、更換裝置或手機被盜,重新取得銀行存取權限需要在分行進行身份核實,或透過可能需要數天的核實流程。
香港金融管理局(金管局)已就網上交易的強效客戶身份驗證發出指引,廣泛符合多重身份驗證 ↗的國際最佳實踐。此監管壓力促使銀行將驗證升級至簡單密碼以外,但各機構的具體實施方式有所不同。了解您的特定銀行如何實施2FA,有助您正確設定,並了解緊急情況下的應對方法。
滙豐香港以其滙豐HK流動應用程式作為主要驗證裝置。進行網上銀行登入時,滙豐會向您已登記的應用程式發送推送通知,您使用生物特徵識別或滙豐安全密鑰批准。該應用程式亦為帳戶層級操作生成一次性密碼。滙豐系統要求流動應用程式在特定裝置上登記,更換裝置需要透過網上升級流程或在分行進行身份核實。若您遺失手機,請立即致電滙豐2233 3000暫停應用程式登記,以防被濫用。
恒生銀行(由滙豐控股)透過其恒生個人銀行應用程式採用類似的流動安全密鑰模式。該應用程式充當安全令牌,生成驗證碼並批准推送請求。恒生亦為不希望以智能手機進行銀行業務的客戶提供實體安全令牌。中國銀行(香港)的中銀Pay及流動銀行應用程式採用裝置綁定,結合臉部識別或6位數PIN碼作為2FA驗證步驟。中銀亦為高額交易發送交易確認短訊碼作為額外保障。
渣打香港以其SC Mobile應用程式進行身份驗證,登入和交易均需要生物特徵確認。該應用程式登記至您的特定裝置,每次新裝置登記都需要渣打向您先前登記的聯絡方式發送核實通知。花旗香港的Citi Mobile應用程式同樣需要裝置登記和生物特徵驗證。永亨銀行(星展旗下)、星展香港及Mox銀行大致遵循類似的應用程式推送驗證模式,並提供短訊後備選項。
香港流動支付生態系統迅速發展,各主要平台有其自身的驗證方式。AlipayHK採用應用程式PIN碼、生物特徵驗證(臉部識別/觸控識別)及短訊一次性密碼的組合,用於大額轉帳或帳戶變更等敏感操作。關鍵的安全依賴在於您的流動電話號碼——AlipayHK的帳戶復原和交易驗證均依賴短訊驗證碼,使您的SIM卡成為應以電訊商PIN碼保護的單一失敗點。
MPay(由港鐵營運)和微信支付HK採用類似模式,嚴重依賴以流動電話號碼連結的驗證。滙豐旗下的PayMe得益於滙豐更完善的驗證基礎設施,提供生物特徵存取和推送式交易批准。八達通的O! ePay服務採用自家應用程式驗證,帳戶變更則採用短訊核實。所有香港流動支付平台的共同點是,您的電話號碼是驗證的核心——這正是為何保護您的SIM卡免受換卡攻擊,對支付安全和傳統銀行業務同樣重要。
由金管局營運、所有主要銀行用於跨行轉帳的轉數快(FPS),沒有自己的介面——您透過銀行的應用程式或網站存取,使用該銀行已實施的任何驗證方式。當您透過滙豐進行轉數快轉帳時,驗證由滙豐負責。當您透過PayMe發起轉帳時,則透過滙豐的驗證層處理。這意味著您的轉數快交易安全性,取決於您用來發起交易的銀行應用程式的安全性。
除了啟用銀行內置的2FA外,數個額外步驟可大幅提升您在香港的銀行安全。最重要的是電訊商層級的SIM卡保護:致電您的流動電訊商(數碼通、中國移動香港、3HK或CSL),要求設定客戶PIN碼或帳戶密碼,使任何SIM卡相關變更——號碼轉攜、SIM卡更換或計劃修改——均需提供此PIN碼。這一個步驟可保護您免受可繞過短訊銀行驗證的SIM卡換卡攻擊。
保持銀行應用程式完全更新。香港銀行定期發布安全補丁和驗證改進。舊版本應用程式可能存在已知漏洞。為銀行應用程式啟用自動更新,或定期查看是否有更新。同樣,保持手機作業系統的最新狀態——銀行應用程式的安全性往往依賴作業系統層級的安全功能(如安全元件),這些功能透過作業系統補丁更新。
對聲稱來自您銀行的釣魚電話和訊息要極度謹慎。香港銀行曾成為語音釣魚(vishing)活動的目標,攻擊者致電客戶,聲稱是銀行安全人員,試圖套取帳戶憑證和一次性密碼。您的銀行絕不會致電要求您讀出剛收到的驗證碼、在電話中確認完整PIN碼,或安裝遠端存取軟件。若您接到此類電話,請立即掛線,並直接撥打卡背面的銀行官方電話號碼聯絡。
