關轉數快柒事?——電子錢包、轉數快與電子直接扣帳授權
source: 【百萬用戶】轉數快推出一月爆漏洞 影ID搵工被轉走10萬銀行存款 - 蘋果日報
今朝起身見蘋果有單咁嘅新聞,我就好疑惑,FPS要轉賬,每次交易都要行一次OTP做驗證,點可能事主被轉賬都無發現。一點開,發現蘋果記者果真不學無術,連FPS同eDDA到未分清就撈埋一齊講,真係難怪記者常遭受輕蔑。
更慘嘅係,下面留言一堆on9仔(已篩選精華comments):
eDDA——電子化直接扣帳授權
講eDDA之前首先要講少少DDA——直接扣帳授權係做乜嘅。如果你有試過簽自動轉賬水費、煤氣費之類嘅話,應該體驗過。自動轉賬繳付賬單嘅話,你首先要簽張form叫「直接扣帳授權書」,即授予有關機構可以係你戶口直接扣除應繳款項。而eDDA就係免除咗一張form,取而代之係你可以係你嘅e-Banking戶口度填寫某啲資料,同樣地能申請到直接扣帳授權。但無論填表還是網上銀行,銀行方面均有合理且充足嘅機會驗證到申請者係你本人——填form可以面對面,覈對對身份證等資料,而網上銀行在申請時亦同樣地覈對身份證等,並由客人自行妥善保管好登入所需嘅帳號及密碼。
FPS——轉數快,即時轉賬系統
而FPS係用以跨行轉賬。以前轉賬銀行內部要經過佢哋各自嘅系統處理,而金管局搞嘅FPS,只係用以做個通用嘅接口,俾各大金融機構連接,做到跨行仍能即使轉賬嘅功能。轉數快雖然可以以電郵、電話以及Unique ID作爲轉賬收款嘅戶口,而轉賬時候亦需要收一個OTP做驗證,但係,FPS本身唔做任何身份驗證嘅。你會話,下,咁邊個做驗證?其實要做驗證嘅,應該係金融機構。金融機構需要做充足嘅身份驗證,確保使用者係其本人。而FPS本身,只係做transaction——轉賬交易本身。而確認用戶身份,係系統設計上,係有關機構嘅責任。
電子錢包 與 銀行 等機構
而電子錢包尤其係OePay、Tap and Go,申請電子錢包只需電話號碼,而如果需要鏈結金融機構做增值或轉賬,需要提供嘅資料有:
- 身份證照片
- 銀行戶口號碼
其實有部分會有機會要埋生日、身份證號碼之類……但呢啲資料身份證照片已經有,所以合併之下,就真係只需要呢兩樣。揸住呢兩樣嘢,你就可以係電子錢包入面申請並綁定銀行戶口進行增值等一連串操作,而呢個正正亦係電子錢包本身嘅問題:身份驗證嘅不足。事件中騙徒選擇見工詐騙就係因爲可以合理地取得呢兩個資訊而不被起疑(當然啦,醒嘅,見到人工咁高應該起疑啦),而呢啲資訊已經足以令佢哋轉賬落有關嘅電子錢包再任何途徑(例如FPS轉賬)轉落佢哋嘅戶口之類。
而銀行方面亦有驗證責任,據我經驗所得,中國銀行同花旗銀行都可以直接用上述資料過到eDDA嘅申請,而據我fd子所言,恆生如果要申請就要用返傳統方式填表申請。以前DDA付款目標都係大機構、支付賬單之類,款項入咗機構之後,一般人唔可能再整到出來。但電子錢包唔同,佢可以自由轉出轉入,所以係銀行對於電子錢包竟然同以前一樣先導致問題發生,所以銀行處理eDDA申請亦應當謹慎處理。
9up time——咁你話點解決問題啊?
OTP
最簡單,申請呢類服務除咗上述嘅資料外,要做一次由銀行發出嘅OTP嚟做身份驗證。更進一步係,除此以外,每次交易亦要由有關銀行發出嘅OTP作驗證。
OAuth
又或者,由銀行提供APIs予以電子錢包,使得用戶係電子錢包內部登入一次網上銀行後,取得token並儲存,予以日後轉賬時作爲憑證。不過呢個要寫多唔少嘅functions,而且理想係,銀行方面要區分返唔同嘅權限,好似出面啲Google、Facebook嘅OAuth2咁列明會access到咩權限予以用戶允許或拒絕,而且用戶可以隨時登入網上銀行取消任何第三方嘅授權,並且每次授權時均應有短信 && 電郵提示你嘅銀行戶口係綁定咗咩咩電子錢包,獲取到咩咩嘅權限。跟住每次轉賬嘅時候亦需要過OTP,確保安全。
唔用eDDA
唔用都係嗰選擇。冇錯,最完美嘅方法就係唔用,唔準人用。以前就話,而家FPS出世之後其實轉賬相當方便,其實只需要用戶自行係網上銀行咁多幾粒掣,一樣做到類似嘅功能,不如直接取消咗佢,讓凱撒嘅歸凱撒,eDDA做返繳交賬單嘅本職,亦係個真.最簡單,乜柒都唔洗做嘅解決方法。
Ref:
- Common Senses
- My memories
- My mind
- My friends
- 轉數快提供哪些服務? - 轉數快