Wednesday, March 12, 2008

從美國觀點質疑台灣的網路銀行需輸入身分證號碼之方式

最近因工作需要在研讀一些有關資訊安全,駭客攻擊的手法,覺得很有趣。我在台灣的朋友,有很多人很會寫程式,但是大部分的人並沒有涉獵這方面的知識,包括我在內。我發覺一個重要事實: 要抵擋駭客攻擊自己的程式碼之前,先開始學會駭客攻擊的方法。

讀了一些文章之後,我心中突然有一個有趣的想法:為何台灣的網路銀行要輸入身分證號碼呢 ? 我看了台灣幾家網路銀行的網站,發覺它們設計的模式普遍要同時輸入身分證字號, 用戶代號, 密碼。三欄全對才會放行。

那美國的網路銀行又是如何? 比較不好的網路銀行只要輸入用戶代號, 密碼就會放行。比較安全的網路銀行需輸入用戶代號, 密碼之後,要回答一些個人曾經設定的問題, 如社會安全號碼(但只有後面四碼),你住的城市為何,你最喜歡的朋友名字, 最後還要輸入一些影像隨機碼之後才會放行!

如果將台灣的身分證字號比喻成美國的社會安全號碼或是駕照號碼,台灣的網路銀行提供輸入身分證號碼的方式已經給駭客攻擊的機會! 難道台灣的網路銀行不能學上述我提及這些美國網路銀行的方式嗎?

為何台灣的網路銀行提供同時輸入身分證字號, 用戶代號, 密碼的方式會給駭客攻擊的機會呢? 我發覺有不少銀行會將身分證字號作為判定標準, 若連續輸入三次,此帳號就會被關閉。現在網路上一大堆驗證台灣身分證字號的軟體很多,只要駭客輸入身分證字號, 若此身分證字號曾在此銀行開戶過, 就可以將很多人的帳號關閉,嚴重者會讓系統當機。這只會增加銀行的負擔。

就我所知,像國泰世華銀行對輸入三次不正確而導致帳號關閉的話,重新申請要收手續費。如果你的帳號不是你輸入卻導致帳號關閉,又要叫你交手續費,你覺得合理嗎?你現在認為三次輸入失敗將帳號關閉是一種好的政策嗎? 我不知道為何台灣的網路銀行一定要將身分證號碼當作標準,因此我質疑它的可行性。

台灣的網路銀行為何不學學上述我提及的方式,將身分證號碼放在個人曾經設定的問題中。只要用戶通過用戶代號, 密碼後,再用身分證號碼及一些個人問題驗證,這樣安全不是會提高很多嗎 ? 別人在網路銀行上, 即可試你的身分證號碼,你覺得對嗎? 你會覺得這是合理的嗎?

延伸閱讀:
從美國工作觀點看台灣上班打卡制之可行性
從美國工作觀點看台灣寫工作週報的可行性
從美國工作觀點質疑台灣找工作檢附自傳之方式
3 failed login attempts block your account—a good idea?
感恩節回台學習之旅(2): 銀行補摺及結清篇—發覺國營台灣銀行資訊系統真爛

2 comments:

Anonymous said...

我也覺得台灣的網路銀行很奇怪,輸入身份證字號, 很不安全, 但是在這裡只能接受了,
除非有重大事件發生, 如之前的提款卡被copy後盜領, 才有重大改革,改發行晶片卡, 否則,講實在話, 要花錢的事,很少人會去做吧, 重新再建設系統,又是一筆成本..
常常我在想, 台灣何時才能像其它國家一樣, 許多機制或系統能更人性化一點

Ray said...

從資訊的角度來看,其實這是介面設計的問題,很容易改善的!只不過端看銀行的人是否願意更改?

Locations of visitors to this page
自訂搜尋