สมาคมธนาคารสิงคโปร์ประกาศมาตรการเตรียมนำไปสู่การยกเลิกใช้งาน OTP ทั้งระบบ โดยเริ่มจากผู้ใช้ที่เปิดแอป digital token ไว้แล้วภายในสามเดือนข้างหน้าจะไม่สามารถใช้งาน OTP ได้อีก แต่สำหรับผู้ที่ยังไม่ได้ลงแอปนั้นธนาคารจะพยายามผลักดันให้ติดตั้งแอปต่อไป
One-Time Passwords (OTPs) เคยเป็นมาตรฐานที่ดีสำหรับการล็อกอินขั้นที่สอง มันช่วยลดความเสี่ยงที่ผู้ใช้จะถูกขโมยรหัสผ่านได้อย่างมาก อย่างไรก็ดี คนร้ายปรับรูปแบบการโจมตีโดยอาศัยเว็บ phishing ที่สามารถหลอกเหยื่อให้ใส่ OTP ไปยังคนร้าย หรือหากใช้ SMS OTP ก็มีความเสี่ยงที่จะถูกขโมยหมายเลขโทรศัพท์เพิ่มเข้ามา ทุกวันนี้แนวทางการล็อกอินขั้นที่สองต้องพิจารณาถึงการโจมตตี phishing เสมอ เช่น U2F หรือ FIDO ที่ตรวจสอบ URL ของเว็บที่ใช้งานอยู่ตลอดเวลา
Digital Token เปิดทางให้ผู้ใช้สามารถยืนยันการล็อกอินหรือธุรกรรมอื่นๆ ผ่านทางแอปพลิเคชั่นธนาคารได้ โดยผู้ใช้เพียงกดยืนยันการทำธุรกรรมผ่านหน้าจอแอปพลิเคชั่น โดยตัวแอปพลิเคชั่นสามารถยืนยันตัวตนผู้ใช้ที่กดอนุญาตการทำธุรกรรมด้วยลายนิ้วมือ, ใบหน้า, หรือ PIN ได้อีกชั้น ผู้ใช้จะเห็นว่าธุรกรรมที่กำลังยืนยันนั้นเป็นอะไร ทำให้ลดความเสี่ยงในการถูก phishing ที่คนร้ายสามารถนำ OTP ไปทำธุรกรรมอะไรก็ได้
แม้ว่าทางสมาคมธนาคารสิงคโปร์จะขีดเส้นตายไว้ที่สามเดือนข้างหน้า แต่แต่ละธนาคารอาจจะมีกำหนดการต่างกันไป เช่น UOB นั้นกำหนดยกเลิกการใช้ OTP สิ้นเดือนกรกฎาคมนี้
ที่มา - Association of
Banks in Singapore
Topics:
Singapore
Banking
Security
Continue reading...
One-Time Passwords (OTPs) เคยเป็นมาตรฐานที่ดีสำหรับการล็อกอินขั้นที่สอง มันช่วยลดความเสี่ยงที่ผู้ใช้จะถูกขโมยรหัสผ่านได้อย่างมาก อย่างไรก็ดี คนร้ายปรับรูปแบบการโจมตีโดยอาศัยเว็บ phishing ที่สามารถหลอกเหยื่อให้ใส่ OTP ไปยังคนร้าย หรือหากใช้ SMS OTP ก็มีความเสี่ยงที่จะถูกขโมยหมายเลขโทรศัพท์เพิ่มเข้ามา ทุกวันนี้แนวทางการล็อกอินขั้นที่สองต้องพิจารณาถึงการโจมตตี phishing เสมอ เช่น U2F หรือ FIDO ที่ตรวจสอบ URL ของเว็บที่ใช้งานอยู่ตลอดเวลา
Digital Token เปิดทางให้ผู้ใช้สามารถยืนยันการล็อกอินหรือธุรกรรมอื่นๆ ผ่านทางแอปพลิเคชั่นธนาคารได้ โดยผู้ใช้เพียงกดยืนยันการทำธุรกรรมผ่านหน้าจอแอปพลิเคชั่น โดยตัวแอปพลิเคชั่นสามารถยืนยันตัวตนผู้ใช้ที่กดอนุญาตการทำธุรกรรมด้วยลายนิ้วมือ, ใบหน้า, หรือ PIN ได้อีกชั้น ผู้ใช้จะเห็นว่าธุรกรรมที่กำลังยืนยันนั้นเป็นอะไร ทำให้ลดความเสี่ยงในการถูก phishing ที่คนร้ายสามารถนำ OTP ไปทำธุรกรรมอะไรก็ได้
แม้ว่าทางสมาคมธนาคารสิงคโปร์จะขีดเส้นตายไว้ที่สามเดือนข้างหน้า แต่แต่ละธนาคารอาจจะมีกำหนดการต่างกันไป เช่น UOB นั้นกำหนดยกเลิกการใช้ OTP สิ้นเดือนกรกฎาคมนี้
ที่มา - Association of
Banks in Singapore
Topics:
Singapore
Banking
Security
Continue reading...