新加坡主管机关要求零售银行应在3个月内,汰除以一次性的文字密码作为多因素验证(MFA),改成更安全的应用程式验证,但并不包含使用硬体金钥。
新加坡金融管理局(Monetary Authority of Singapore)及新加坡银行公会(The Association of Banks in Singapore,ABS)上周宣布,新加坡主要零售银行将会在未来3个月内积极汰除客户登入网银帐号时的一次性密码(one-time password,OTP),这将有助于预防钓鱼攻击。
已经在行动装置启用数位令牌(digital token)的客户未来要登入网银时,必须透过手机浏览器或行动银行App使用数位令牌来登入。运用数位令牌不需再以简讯接收OTP,可防止骇客发送钓鱼信件窃取用户或诱使用户泄露其帐密。
简讯式OTP是在2000年被引入作为线上服务或App登入的多因素验证(MFA)的一环。此类OTP为基础的MFA简单方便,但是很早就被发现可能被骇客拦截改造,将讯息内容中加入恶意连结,将用户导向钓鱼网站诱骗使用者帐号,以接管其银行帐号。
新式MFA是结合应用程式或硬体金钥产出的数位令牌完成第二层验证,可杜绝文字式OTP的问题。不过新加坡主管机关也鼓励银行汰除硬体金钥。
根据星国金融管理局的文件,硬体令牌仍然可能遭到钓鱼网站诈骗,只是不像文字简讯那么高。但当地一些主要银行如星展、华侨银行、汇丰银行等仍然基于客户要求而持续提供硬体金钥。对此,星国政府的态度是持续和这些银行沟通,鼓励其导入更安全的验证机制。