「雙重認證」到底係咩？銀行幾時先會用？

在早前的文章已簡略介紹過2FA，日常生活我哋亦經常接觸到2FA，你對佢嘅認識又有幾多？今次就為大家以純文字方式好好地解釋到底甚麼是2FA。

你要知道的3個重點：

1. 2FA是一個貌似簡單，卻極為重要的風險管理概念；
2. 2FA即2-Factor Authentication，意即雙重認證。認證方法一般分為3類，分別為What-you-know，What-you-have及What-you-are；
3. 一般而言，在e-banking channel進行High-risk txn（高風險交易）的時候，銀行都會（被）要求客戶進行2FA，作為有效的風險管理措施。

我想大家與我一樣已很少入分行獲得銀行服務，櫃員機、e-banking、Mobile banking、Phone banking才是主要的渠道。有沒有想過以下3個問題呢？

【延伸閱讀】滙豐靠PayMe+信用卡　完勝其他銀行所謂的FinTech？

三個有關身份認證的問題：

問題1：櫃員機提款為甚麼要帶提款卡+密碼，而不可以直接輸入戶口號碼+密碼呢？反之使用存款機的時候，卻可以直接輸入戶口號碼呢？

問題2：為甚麼在使用Phone banking時，在轉賬至（未登記）第三方戶口的時候，除了要輸入密碼外，還要發一個SMS OTP （一次性密碼）給我確認呢？如果我忘記密碼，利用Smart question（例如身份證、出生日期、有幾張附屬卡等）與CS核實身份，為甚麼CS會拒絕為我進行第三方戶口轉賬呢？也就是說，Smart question不能取代密碼嗎？

問題3：以滙豐為例子，以電腦登入e-banking時每次都要輸入密碼及Token驗證碼，但於手機登入卻只需要輸入密碼（或乾脆Touch id指紋登入），手機會比電腦安全嗎？

雙重驗證Two-factor authentication（2FA）

其實以上3個問題都是同一個問題，要一口氣回答，大家要首先明白金管局對High risk transaction（高風險交易） 的監管要求。

打開SPM TM-E-1（4.2.1）這樣說：

 In general， two-factor authentication （2FA） of customers should be implemented for e-banking channels （e.g. self-service terminals， Internet banking， phone banking or even contactless mobile payments） that allow high-risk transactions （e.g. withdrawal of customers’ funds from self-service terminals or funds transfers to unregistered third-party payees）

這裏有幾個關鍵字，e-banking channel包括櫃員機、網上銀行、電話銀行、非接觸式電子支付等，即基本上所有非面對面（non-F2F）、而又牽涉電子的交易都被納入為e-banking channel；另一個關鍵字為High risk transaction，包括轉錢、提款及其他（麻煩你銀行自己諗吓咩叫）高風險的交易。如果個交易中晒呢兩範，咁就麻煩你銀行做2FA喇。

那甚麼叫2FA？打開 SPM TM-E-1 note 11：

Two-factor authentication refers to the use of two out of the three types of factors（i.e.（i）something a customer knows；（ii）something a customer has；and（iii）something a customer is

那即是甚麼？（i）What you know 即是密碼、（ii）What you have即是你袋裏所有的東西，包括手機、提款卡、月結單、身份證、Hard token、Soft token等、（iii）What you are 就是客戶的生物特徵（Biometric characteristics）。

要留意的是，只有密碼屬於（i）What you know，而Smart Question （如身份證號碼是甚麼、有多少張附屬卡等） 是屬於（ii）What you have，因為理論上只要有人拿了你的錢包便一清二楚了，SMS One-Time Password（SMS OTP）也屬於（ii）What you have，因為你是擁有那台手機才收到這個OTP的。

所以整段SPM TM-E-1（4.2.1）的意思便是，所有「非面對面的電子交易」，如牽涉高險交易例如轉賬、存款等，麻煩要用2 out of the 3 types的認證方法核實客戶身份，而這2個方法是「不能」重疊的哦！

3個問題的答案：

問題1：櫃員機提款為甚麼要帶提款卡+密碼，而不可以直接輸入戶口號碼+密碼呢？反之使用存款機的時候，卻可以直接輸入戶口號碼呢？

答案1：提款卡的主要作用並不是「輸入賬戶號碼」，而是作為What you have的認證方法， 配合「密碼」作為what you know構成2FA以認證你的身份並進行提款。存款機雖然屬於e-banking channel，但存款並不屬於High risk txn，故沒有2FA的限制。

問題2：為甚麼在使用Phone banking時，在轉賬至（未登記）第三方戶口的時候，除了要輸入密碼外，還要發一個SMS OTP（一次性密碼）給我確認呢？如果我忘記密碼，利用Smart question（例如身份證、出生日期、有幾張附屬卡等）與CS核實身份，為甚麼CS會拒絕為我進行第三方戶口轉賬呢？也就是說，Smart question不能取代密碼嗎？

答案2：仍然是2FA的問題，SMS OTP是屬於What you have的認證方法（因為你擁有這個手機號碼才能收到這個OTP哦！），配合密碼作為 What you know 便能構成2FA了。而由於Smart questions及SMS OTP都屬於What you have，二者同時使用的時候，便違反了2 out of the 3 types這個規則，故只屬於1FA而並非2FA了。

【延伸閱讀】恒生「無卡提款」美中不足　問題出在……？

問題3：以滙豐為例子，以電腦登入e-banking時每次都要輸入密碼及Token驗證碼，但於手機登入卻只需要輸入密碼（或乾脆Touch id指紋登入），手機會比電腦安全嗎？

答案3：這個可能會較出乎意料地仍然是2FA的問題。以電腦登入e-banking時，密碼屬於What you know，token屬於What you have，所以滿足了2FA的要求。

最有趣的是，以手機Touch ID登入e-banking變已經是2FA了！因為大家首次以新手機登入的時候，一般除了會輸入密碼外，還會外加一個SMS OTP/Token驗證碼，這個動作構成了一個2FA認證你的新手機，使你的新手機成為了新的What you have，然後透過這台已驗證的手機（What you have）輸入密碼（What you know）或指紋（What you are），便形成了一個簡單快捷的2FA了。

補充一點，一般e-banking的登入並不屬於High-risk transaction，是滙豐風險控制特別嚴格而已。

 

【文章來源：華田銀行；已獲授權轉載。原題：銀行小知識 （3） — 所謂 “雙重認証 （2FA） ” 是什麼概念？】

【關於作者】

兒時夢想做i-banker，結果做了bank worker，還要是retail那種。過去在各大小銀行不同部門流徙，叫人借錢、催人還錢、審批貸款、出股票app、出借錢app、出信用卡、廣告策劃、銷售管理、分行佈點、生物認證、電子排隊、機器學習、敏捷開發，到現在還未安定下來。不懂財經、不懂經濟，只想談一下「銀行」這回事。