网银密码新保障即将出台

本港网上银行保安线被高水平国际黑客找到漏洞，即使用户有双重认证密码，亦会因电脑已感染病毒程式而令密码落入黑客手上，今年已有3宗涉及20多万元损失的个案。银行及资讯业界正制定拆弹方案，一场智能大战即将展开。

业界正研究新防范技术，最快9月前有定案，包括双重认证密码的运算过程中加入客户指定转帐户口，令黑客取得密码也无法将钱转至其他帐户，亦会限制密码有效时限100秒内。另外，电子认证亦会提升保密技术，令用户及交易资料无法被盗窜改。

黑客突破本港网上银行防线的技术之高，令银行业内响起警号，因黑客是从用户方面下手，先令用户电脑一早感染特洛伊木马程式。当客户登入真正银行网站，输入用户名称、密码或双重认证资料时，有关栏目有如遮盖「牛油纸」，所有输入资料都会被截取，黑客则在另一边厢再以网上银行交易转走款项。

黑客倘获密码 也无法转帐

为了防止黑客重施故伎，据悉，业内近月积极研究加强双重认证一次性密码运算技术，包括加入更多交易资料如转帐户口号码，最快9月前有定案。

现时双重认证的只用一次密码，即使被黑客盗走用作转帐至其他帐户，银行亦无从得知。新方案是当用户输入指定转帐户口后，银行会将此作为运算密码数据之一，之后再透过手机SMS短讯或保安编码器转回用户，用户须再输入有关密码作为双重认证。

银行之后便可换算密码取回转帐户口资料核对，若发现不符便不会完成交易；令黑客即使取得密码也无法将钱转至其他帐户。

据悉，此技术会优先采用于经常有大额及高风险交易和转帐的客户。银行方面或会提供新保安编码器，令用户可以此输入转帐号码。研究资讯保密技术的城大电子工程学系副教授郑利明表示，这是俗称「password salt」做法，是资讯保安技术之一，有助防止黑客取得密码后任意妄为：「除不可用密码转帐其他帐户，还可加入操作时间，一旦过时，密码就会失效。」

电子证书加密交易 避窜改

另外，香港邮政电子核证营运商E-mice正与银行业界商讨，以电子证书加强网上银行保安措施。现时部分网上银行用户会以电子证书确认身份，在电脑内插入储载电子证书的USB便可使用电子签名，将交易内容加密成为特定档案，一经窜改银行便会发现及停止交易。

E-mice核证机关营运总监陈婉华表示，最快9月底会更换储载电子证书的USB，以新加密技术令黑客无法透过客户的电脑，将电子证书偷走，亦会研究与更多银行合作采用电子认证，加强网上银行保安。

对于会否采用新技术，中银回应已于6月加强措施，包括双重认证一次性密码的手机短讯，会先列出交易内容才显示密码；交易完成后再发短讯通知，亦会密切留意最新科技发展。

花旗银行回应会不时更新科技及保安系统，另以手机短讯通知客户转帐交易完成的服务，过往只限于转帐外地帐户，9月起会扩展至本港帐户。滙丰及恒生（00011）则回应会按监管机构的守则及指引，不时检讨更新网上保安系统。

金管局表示，已发通告向银行提出多项指引，包括密码有效时限不可多于100秒的新规定，银行须于9月底前达到有关要求。（责编：tina）

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。