【FinTech】滙豐的「聲紋認證」登記比Citibank複雜　全因認證定位唔同？

繼續「聲紋認證」系列第三篇，第一篇就講咗滙豐同花旗兩間銀行所用嘅「聲紋認證」技術有咩分別。第二篇就講解咗呢兩間銀行喺「登記大家把聲」嘅方法有咩唔同，基本上花旗就喺流程上完勝滙豐喇。雖然係咁，點解個流程上會有咁大差別嘅呢？

喺最後華田留咗一個問題畀大家：「點解花旗個Solution答幾句Smart question就可以登記把聲，但係滙豐要又入Phone PIN又入OTP呢？」

【延伸閱讀】【FinTech】Citibank vs 滙豐　兩間銀行嘅聲紋認證有咩唔同？

咁呢個就關係到呢兩個「看似一樣」嘅聲紋認證技術有住根本「完全唔同」嘅Proposition，從本質上睇一個係屬於Strong authentication、而另一個係Weak authentication，佢哋想照顧嘅客人、可以做嘅交易、風險胃納等等其實都完全唔同。

今次就會講吓到底有幾唔同喇。

Authentication有強弱

首先要明白Authentication都有強弱之分。唔知大家有無呢個經驗，當大家打上去Call centre waive信用卡年費，如果你唔記得（或者根本唔知）自己Phone banking密碼，只要答幾句Smart question基本上CS都會肯幫你做；但係如果打去General banking hotline去問自己戶口有幾多錢，如果你唔記得自己密碼，Sorry，多數情況下CS係根本唔會問Smart question、而會選擇直接唔答你。

點解呢？呢個就牽涉到銀行對於「認證方法」係有偏好嘅，其中Smart question就屬於銀行最討厭嘅類別，因為佢被盜用嘅機會最高，有幾多張附屬卡、用咩方法還款、喺我哋銀行有無戶口、身份證尾4位數係幾多，呢啲所謂嘅「Smart」question，老公老婆阿爸阿媽有心知就一定會知，咁試問又有幾保安呢？

所以事實上銀行充其量只會將Smart question界定為一種Weak authentication method，如果要做高風險交易，好多時都唔會將Smart question當做其中一種認證嘅方法，如果2FA要到用「What you have」嘅時候，銀行只會選擇SMS OTP或者Soft／hard token，而極少會考慮Smart question喇。

【延伸閱讀】【FinTech】Citibank的「聲紋認證」比滙豐優勝　全因Citibank以細節取勝？

咁點解Call centre又會答你信用卡問題呢？因為風險好低，10個客有9個都係Waive年費、利息、遲還罰款，就算冒認，輸嘅都係銀行；而如果你用Smart question認證，跟住再話要改地址，個CS好可能就會叫你用密碼（What you know）認證咗身份先（剛剛試咗恒生會咁樣做，但係Citibank仍然畀你過），跟住再Send SMSOTP（what you have）先肯幫你做，其實Smart question都係What you have啫，點解唔得呢？

因為銀行自己根本唔信Smart question咯！

呢個亦都解釋咗點解General banking hotline唔用Smart question，喂，大嗱嗱個客戶口有幾多錢喎，咁輕易話喺個電話度話畀人知你有幾多身家，實畀人投訴到暈啦，明未？

花旗為減省煩瑣步驟

當大家明咗原來Smart question係幾咁Smart嘅時候，就可以返嚟正題喇。

大家可以用Smart question（1FA、仲要係Weak嘅）就能夠登記花旗的Voiceprint，就表示當大家以自己的聲音做認證的時候，就只會有用Smart question認證的威力，你的聲音=你答啱咗Smart question了。

大家望多一次花旗張Banner入面每一隻細字：

「讓您省卻回簽多條驗證問題的煩瑣」呢個就係重點喇。

所以話花旗嘅Voice authentication只係一種Weak authentication method，用聲音登入的話，最多只可以做一啲簡單同死唔到人嘅Transaction。

所以未必需要去到「轉賬」呢類嘅「超高風險交易」，剩係買股票呢類「中風險交易」就已經要用多一重認證去確認你嘅身份喇。

至於一啲本來就需要2FA嘅「高風險交易」就好睇銀行本身嘅風險胃納（Risk appetite）喇，剛剛試咗花旗用Smart question／voice+OTP信用卡改地址係OK嘅，但係恒生就Smart question加OTP就話唔得，所以要睇銀行同埋交易種類喇。

另一個關鍵位，就在於本身呢個Voice print喺登記嗰陣佢背後嘅認證方法，如果只係用Smart question嚟支持的話，就代表呢個Voice print本身就超級弱，銀行嘅風險就會比較高；但係如果本身係用Phone PIN嚟支持的話（即係登記之前入過密碼嚟認證身份），呢個Voice print就比較強，銀行嘅風險就低些少喇。

但係講到尾，呢個Voice print仍然都只係1FA支持，風險仍然比2FA高得多喇！

【延伸閱讀】滙豐靠PayMe+信用卡　完勝其他銀行所謂的FinTech？

滙豐目標可做較高風險交易

相反如果要在滙豐登記自己的聲音，因為要同時用Phone PIN+SMS OTP作2FA雙重認證，所以係一個Strong authentication。如果大家喺滙豐用自己嘅聲音登入，情況就等於你用Phone PIN登入一樣，你問乜基本上CS都會答你喇。

同樣道理如果做一啲中等風險程度嘅交易，例如買股票咁，一樣可以自由使用，CS唔會問長問短架喇。

咁如果要做高風險交易例如轉賬、改地址等等，用聲音（What you are）再加一個SMS OTP（What you have），情況就等於Call centre BAU做緊嘅Phone PIN+SMS OTP，CS都一定會幫你做喇。

兩行「聲紋」認證定位不一樣

我諗如果大家睇到呢度仲未暈的話，就應該已經明白點解滙豐嗰個登記方法咁複雜、而花旗嗰個咁簡單。

因為滙豐從一開始就想將Voice定性為Phone PIN嘅替代品，所以一定要配合Phone PIN+SMS OTP雙重認證呢一個Voice print嘅真確性，成為一個Strong authentication method方便之後用嚟做其他高風險交易。

而花旗呢，就從一開始就想將Voice定性為Smart question嘅替代品，用嚟處理一啲簡單嘅查詢，如果需要做中等風險交易就要個客用SMS OTP做多一重認證，極高風險嘅交易就再做其他配套措施搭救（例如Post-txn SMS、限制交易上限等等），再頂唔順嘅，就索性叫佢入返密碼＋SMS OTP做2FA咯！

 

【文章來源：華田銀行；已獲授權轉載。原題：銀行閑談（82） — 為什麼登記匯豐的「聲紋認證」要比花旗的要複雜得多呢？】

【關於作者】

兒時夢想做i-banker，結果做了bank worker，還要是retail那種。過去在各大小銀行不同部門流徙，叫人借錢、催人還錢、審批貸款、出股票app、出借錢app、出信用卡、廣告策劃、銷售管理、分行佈點、生物認證、電子排隊、機器學習、敏捷開發，到現在還未安定下來。不懂財經、不懂經濟，只想談一下「銀行」這回事。