“通过推送通知和QR码的认证方式只能通过客户经登记的花旗手机应用进行。一次用短信密码则可能遭‘中间人’攻击。”
维拉尼指出,在网上银行交易时,扫码方案是个比较安全的认证方式。
陈顺华(45岁,行政人员)说,他的花旗银行数码生成器常出问题,没有办法通过,只好靠一次用短信密码完成交易。“新的扫码方式听起来比较方便,就像Singpass一样。”
花旗新加坡数码银行主任维拉尼(Prachi Vijlani)回答《联合早报》询问时说,客户接下来在花旗网上银行进行交易时,QR码方案将取代目前的数码密码生成器。
“QR码将是花旗网上银行高风险交易的主要认证方式。任何需要一次用密码或数码密码生成器的交易也会改用扫码方案。”
花旗银行用户和三域安全(3-Domain Secure)商家进行线上信用卡或转账卡交易时,日后会接到银行应用的推送通知,要求他们通过应用授权交易,而不是一次用短信密码。
林慧颖(31岁,经理)持有花旗信用卡。她说,从来没有用过花旗网上银行,都是靠花旗手机应用处理所有事项。
延伸阅读
本地银行持续加强网上银行服务的安全,鼓励用户进行交易时,通过银行手机应用认证,减少对一次用短信密码的依赖。
花旗银行星期六(6月18日)向客户发电邮,宣布为花旗网上银行(Citibank Online)推出新的认证方式。
OneToken是与华侨银行应用结合的后端认证方式。约94%的华侨银行客户已经登记使用OneToken。
“从查看账单到付款等,要是能通过应用搞定,为什么还要上网?而且用网站还必须打开应用认证,那直接用应用不是更方便吗?不过,样样事情靠应用,银行务必要确保应用的保安万无一失。”
大华银行回答《联合早报》询问时说,自2018年8月,登记使用大华银行TMRW应用,并设立好数码令牌后,在登入个人网上银行及进行较高风险的交易,如添加新的收款方或调整交易限额时,都会收到应用的推送通知,要求他们认证和授权。
华侨银行集团电子商务与业务改革部总经理许丽虹说,自2019年以来,客户登记使用华侨银行的数码令牌OneToken后,在登录账户或交易时,只要点击银行手机应用的推送通知认证即可,不必再用实体密码生成器或一次用短信密码。
自今年3月底,华侨银行客户网购时,只要点击应用推送通知授权即可,不必等银行系统发一次用短信密码。
网上银行认证 减少依赖一次用短信密码
他也提到,花旗新加坡是根据新加坡金融管理局的指示,减少依赖一次用短信密码作为网上银行的认证选项。过渡到新认证方式,包括扫码和手机应用推送通知之际,银行会继续为客户提供一次用短信密码方案,作为后备认证选项。
另外,花旗银行用户如今拨打花旗银行热线时,在提供身份证号码或卡号的最后四个数字后,会接到手机推送通知。只有利用密码或生物认证登入应用,并点击“继续”的指示后,才能继续通话。
从本月底开始,公众若登记使用花旗银行备有加强安全功能的手机应用,之后在花旗网上银行进行交易时,可使用手机应用扫描页面出现的QR码进行密码或生物认证。除非银行要求额外认证,否则用户不必再填入一次用短信密码(SMS OTP)或交易授权码。
