作者aeolus0829 (archer)
看板creditcard
標題[問題] 有沒銀行的網銀是這樣操作的
時間Fri Feb 26 14:47:30 2016


現在手上有 中國信託 第一銀行 台新銀行 國泰銀行
老婆手上有 花旗銀行

因最近被中信電銷員亂到很不爽，打算換信用卡；點進中信網頁打算申訴
沒想到申訴的網頁一直連不上 (好樣的
打客服電話有通但沒人接 (我承認只有打一通，不過這不是重點)

想找網頁或 app 設計的比較好的銀行
1. 對帳單不要再叫我按密碼了... 這點花旗的電子帳單就做的不錯
2. 中信及元大的 app 都不接受：密碼欄位貼上資料
   我想很多人都是把密碼記在別的 app 吧... 能貼上是比較方便的
   雖然我更想推指紋辨識... 可惜我的手機沒有指紋辨識  Q Q
3. 我知道這是安全機制
   登入網銀要輸入使用者帳號、帳號、密碼
   不過各位親愛的 IT 同業，你覺的多一個欄位要輸入資料，資料就會更安全嗎？
   除了增加使用者麻煩，多一個欄位從來都不是好主意
   真的要安全還不如用 One Time Password (簡訊要錢是吧？email呢？)
4. 承上，app 每隔一陣子就會把使用者登出，真的是好安全好棒棒啊
   加上密碼還不能用貼上的方式，這是在整使用者嗎？

我恨透無所不在的密碼輸入了！ @ @

回歸主題，請問有哪家銀行的 app 沒有上述的問題？


--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 211.20.129.1
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1456469253.A.05B.html
推 jefflin555: 用過國外APP第一次登入之後就可以直接查詢可用餘額 02/26 14:55
→ jefflin555: 近 15 筆消費紀錄、繳信用卡費等功能 02/26 14:55
→ jefflin555: 之後都不用再登入。(要變更資料或繳其他費用才需登入 02/26 14:56
→ jefflin555: 我覺得這樣很方便 02/26 14:56
國內的 app 大多也是一段時間內都可以用，可能三天或七天把你登出，之後再開 app
就要重新輸入帳號密碼，大概是把手機當成電腦，會有和別人共用的可能性 (這樣對嗎？)
如果有類似指紋辨識的機制識別你是本人，大可不必重複把人登出、資料清除
不過登出比較簡單啦~ 也比較沒有責任問題

→ cs4118kimo: 多一個欄位要輸入資料，資料就會更安全嗎？ -> 我想 02/26 14:58
→ cs4118kimo: 得會耶，不然叫大樂透少對一個號碼看看中獎機率有沒有 02/26 14:59
→ cs4118kimo: 比較高XD 02/26 14:59
→ cs4118kimo: 另外電銷真的很煩，打電話跟他說不允許使用你的個資吧 02/26 15:00
推 jefflin555: 樓上類比錯誤，如果是手機中毒、或銀行本身資料庫安全 02/26 15:00
→ jefflin555: 不佳，你100個欄位還是會被盜用的 02/26 15:00
→ jefflin555: 這跟露樂透機率 (未來事件) 性質不同吧 02/26 15:00
我的看法和 jeff 相同
資料外洩，使用者只有一部份的責任；另外一部份的責任是對方
單單只用帳號密碼這種方式管控，對銀行來講很省事，但也是很爛的方法；
現在刷卡多會配合 OTP ，不像以前還要3D驗證之類的；OTP並沒有比較不安全不是嗎？

推 jefflin555: 美國網銀好像都只有帳號+密碼兩個，台灣比較多三個的 02/26 15:03
→ jefflin555: 有些銀行每次登入又還要驗證碼，等於四個欄位要填寫 02/26 15:04
推 aq2272353712: 你自己開一家比較快 02/26 15:07
→ cs4118kimo: 那我的例子就只能拿來防被猜到的機會了QQ 02/26 15:07
差不多~ 只是密碼其實沒有想像中好猜，所以要花這個功夫去防被猜到.. 個人看法是大可不必
除非你的密碼是每年都會公佈的懶人密碼排行前一百名...
(password / 123456 / 1234 ... ) 不過這種密碼應該現在注冊的時候就會拒絕你用了

推 davi0129: 國泰不是有手勢登入? 02/26 15:11
手勢？至少比密碼好
※ 編輯: aeolus0829 (211.20.129.1), 02/26/2016 15:30:33
推 gottsuan: 密碼被偷不是被猜 通常是被騙被偷 釣魚網站 釣魚信件 02/26 15:43
→ gottsuan: 惡意程式 病毒等等y 02/26 15:43
沒錯~ 而對於這種外洩，其實你密碼設的再複雜都沒用

→ gottsuan: 安全和方便永遠都是權衡 銀行怕損失就會用方便換安全 02/26 15:44
安全和方便並不是對立的
應該會有更好的作法

現在這種帳號密碼的作法印象中從2000年以來幾乎沒有改變過
變的部份，很多只是加上使用者帳號以及驗證碼

驗證碼是怎麼回事？難道有人寫程式去 try 帳號密碼？
而銀行的IT對於這種短時間大量連線的程式，除了驗證碼沒有其他辦法？
(我一直覺的驗證碼是很腦殘的東西，特別對於銀行登入時採用這種手段時)

推 gottsuan: 可能裝個免費遊戲 app 就偷光你密碼了 02/26 15:46
推 dallasman: 美國的網銀只要使用者代號跟密碼..日盛銀的跟國外一樣 02/26 15:47
→ erotic: 台灣一堆刁民、民代, 銀行只是怕麻煩，自保罷了 02/26 15:48
→ dallasman: 而且美國網銀密碼規則很簡單..也不會強迫你定期換密碼 02/26 15:48
→ erotic: 台灣網銀也不會強迫換密碼,只是會一直提醒你換密碼... 02/26 15:50
※ 編輯: aeolus0829 (211.20.129.1), 02/26/2016 15:58:28
→ dallasman: 有的..我被澳盛/兆豐/玉山強迫換過密碼 02/26 15:54
→ dallasman: 澳盛的網銀密碼是全台灣最智缺的..強迫你用特殊字型 02/26 15:55
→ erotic: 玉山有嗎? 我一年多沒換密碼啊... 02/26 15:55
推 terfd: 對帳單密碼可以打去取消 02/26 15:56
→ dallasman: 而且用過的密碼不能再用..但客服堅持他們沒有記憶密碼 02/26 15:56
→ dallasman: 後來澳盛似乎有放鬆規則..但是我已經不願意再用了 02/26 15:57
→ dallasman: 玉山之前有段時間是每半年強迫你更新網銀密碼 02/26 15:58
→ dallasman: 後來大概沒效果又一直被罵..似乎就取消了 02/26 15:58
→ dallasman: 回原PO..永豐跟富邦似乎都可以拿掉PDF的密碼 02/26 15:59
→ aeolus0829: 真的？是要另外申請嗎？ 02/26 16:00
→ dallasman: 美國四大銀行的信用卡紙本帳單上都有印出完整信用卡號 02/26 16:01
→ dallasman: 銀行跟老美似乎也不擔心平信帳單被攔截卡號外洩 02/26 16:02
→ dallasman: 台灣的銀行搞一堆只是累死客人跟自己 02/26 16:02
→ dallasman: 原PO..打客服 02/26 16:03
推 jefflin555: 台新也可以取消PDF加密 02/26 16:03
感謝兩位告知
→ aeolus0829: 收到~ 其實比起紙本，email算是比較安全的方式；不是 02/26 16:04
→ aeolus0829: 駭客等級，想進你信箱拿信哪有那麼簡單; 至於個人帳號 02/26 16:04
→ aeolus0829: 密碼保管不當那就是另外一件事了 02/26 16:04
※ 編輯: aeolus0829 (211.20.129.1), 02/26/2016 16:05:14
→ hsinyuan0104: 等你網銀被盜帳號,你就會怪銀行IT輸入檢核欄位太少 02/26 16:31
推 gottsuan: 美國銀行網銀安全機制簡單是因為有保險制度 銀行因為被 02/26 16:38
→ gottsuan: 駭客攻擊造成損失 保險公司會理賠 相對來說銀行就比較不 02/26 16:38
→ gottsuan: 那麼積極防洞 台灣客戶只要發生認為事情 即使不是銀行的 02/26 16:39
→ gottsuan: 責任 也會鬧到要銀行[損失照單全收 銀行怕了就加多很多 02/26 16:39
→ gottsuan: 麻煩的機制來保障自己的可能損失 02/26 16:40
→ gottsuan: 金管會有要求 電子交易的交易糾紛只要銀行不能明確規責 02/26 16:40
→ gottsuan: 給客戶 責任就是銀行的 比如客戶被安裝後門造成網銀被盜 02/26 16:41
→ gottsuan: 銀行如果無法證明 那損失就是銀行要負擔 02/26 16:41
→ gottsuan: 網頁動態圖片密碼 主要是防止機器人程式去試登入 02/26 16:42
我想樓上兩位說的是一樣的事

不過我的看法是各有各的責任 銀行不應該把帳號保全全押在密碼 這種方法並不是很有效
而使用者 ... 該怎麼說，善盡密碼保管的責任，為了自己也為了別人？

最起碼奇怪的東西、奇怪的網站，在使用電腦一陣子以上，關心自己安全的人，大概
都已經學會一些自保的方法了，要中招也不是那麼容易

明明是少數使用者的行為，卻是全體使用者要遭受這些不便... 哈哈(苦笑)

金管會這樣的作法 我沒辦法判斷是不是合理 不過如果造成銀行這樣的作法

倒不是我願意看到的

ok ~ 回歸主題，所以真的沒有設計比較好的銀行了是吧...


→ william7713: 最近一堆銀行網站都多驗證碼 有些超難看..有夠煩 02/26 18:19
推 cytochrome: 圖形辨識也只是考驗駭客的功力而已，現在圖形辨識能抓 02/26 18:56
→ cytochrome: 特徵值出來，電腦識別也不是難事 02/26 18:56
→ fongse: 圖形辨識最後都是考倒使用者 02/26 21:34
※ 編輯: aeolus0829 (220.132.93.23), 02/26/2016 23:18:43
推 compp3: 國泰有指紋跟圖形登入，但我是iOS 系統，安卓系統我不清 02/26 23:45
→ compp3: 楚有沒有 02/26 23:45
→ compp3: 但說實話我覺得app介面沒有多好看，而且有點慢就是了 02/26 23:45
好看與否倒是其次，能不能吸引使用者去用才是重點

擾民的設計就是趕跑人的設計

→ ChungLi5566: 網銀的圖形驗證碼是金管會要求的,各家銀行收到公文 02/27 12:49
→ ChungLi5566: 後都在差不多的時間上線XD 02/27 12:49
... 政府單位幹的事我不想再多說

→ iueeng: 目前各家銀行唯一就是不會強迫改密碼 就算後面規則變嚴 但 02/27 17:04
→ iueeng: 前面已經設過不想改 還是可以用 不像中華電信 鳥毛一堆 02/27 17:05
→ iueeng: "EMAIL" "電信會員" 密碼太簡單要求改 不改不能用 02/27 17:05
→ iueeng: 悠遊卡手機app 交易查詢 手機Root 無法查悠遊卡 02/27 17:06
→ iueeng: 圖形驗證法? 還是有不少銀行沒新增那欄  最近只有富邦中信 02/27 17:07
→ iueeng: 多了 富邦網站因為被攻擊測試新增  中信新增時間差不多同 02/27 17:08
→ iueeng: 一周 中信圖形本來要大小一致 最近不分大小寫也可過 02/27 17:09
推 NOOB: 是否試試看澳盛信用卡數位夥伴? https://anz.tw/card 02/28 01:09
列入考慮 ~ 謝謝