藍新科技推出 AOTP 認證系統,遏止「小額詐騙」與「幫我收個簡訊吧」

作者 | 發布日期 2015 年 02 月 09 日 10:13 | 分類 支付方案 , 軟體、系統
藍新科技 AOTP 系統發表記者會

OTP(One-Time Password)是一種常見的安全認證機制,在網路交易或進行身分認證時,系統會發送一組一次性的動態密碼至簡訊或應用程式到使用者的手機,待使用者將這組密碼回填後,才可以完成交易/認證。這個機制是為了補足使用者設定的固定密碼有被盜取的風險(還記得眾多好萊塢明星的密碼被駭客蒐集到,所導致的 iCloud 裸照門吧),因此以隨機密碼加上現代人不離手的手機,當作第二道防線。




孰料 OTP 機制隨著手機病毒的發展,開始出現漏洞。惡意人士在手機植入木馬程式後,透過控制使用者的手機,並攔截從系統端發送至手機的 OTP 簡訊,隨後利用使用者的身分完成交易/認證,讓使用者蒙受一筆損失,這一陣子以來常見的「電信小額詐騙」、「幫我收個簡訊」就是由此而生。

5 日,金流服務商廠商藍新科技推出「AOTP 行動憑證驗證系統」,用以取代傳統 OTP 技術,為全球首個建置完成的 AOTP 系統。

AOTP(Active One-Time-Password)是 OTP 的加強版,解決 OTP 面臨的漏洞。在 AOTP 系統的認證機制裡,使用者透過系統得到一次性的動態密碼後,只能用先前註冊時登錄的手機號碼,以「手機簡訊」的方式回傳動態密碼至「電信業者簡碼」(83811)完成認證。

比起 OTP,AOTP 多了以手機號碼作為身分認證的一道辨識機制,不像過去惡意人士可以利用電腦網頁填入動態密碼;此外,過去 Android 手機中毒時,會在使用者無法察覺的情況下發送簡訊,但在 Android 4.0 之後,只要是發送訊息至電信簡碼,一律都會跳出確認發送的提醒,因此惡意人士也無法在操控使用者手機的情況下自行回傳密碼

目前已有台灣銀行導入 AOTP 系統,也因為國內官股銀行率先採用該系統,加上金融詐騙猖獗,因此 AOTP 系統受到國內其他銀行及電子商務業者的關注,藍新科技總經理詹聖生表示,目前已有許多家銀行與藍新接洽中,而藍新階段性的目標是將這套系統推行到更多銀行、電子商務商家的支付管道,以及使用者身上,希望能讓電子商務的交易更安全,此外,藍新也計畫推出「AOTP 銀行帳戶支付服務」,將銀行帳戶即時支付納入藍新 ezPay 的第三方支付服務中。

發表迴響