新加坡金融管理局(MAS)近日宣布一项新规定,将在未来三个月内逐步淘汰所有主要零售银行的一次性密码(OTP)认证方式。该举措由新加坡政府和新加坡银行公会(ABS)共同商定,旨在保护消费者免受网络钓鱼和其他诈骗行为的侵害。
“一次性密码作为一种多因素认证方式,于2000年代引入,旨在加强网络安全,”新加坡金融管理局公告中写道:“然而,随着科技发展和社交工程技巧的日益复杂,诈骗者现在可以更容易地通过网络钓鱼窃取客户的一次性密码。例如,诈骗者会搭建一个与真实银行网站高度相似的钓鱼网站。”
除了钓鱼网站外,一次性密码多年来一直是安卓恶意软件的目标,帮助恶意软件运营商绕过目标账户的双因素身份验证保护。
今年,谷歌针对“接收短信”、“读取短信”和“绑定通知”权限的滥用行为采取了更加严厉的措施,新加坡是首批获得这项新保护的国家之一。
此外,一次性密码还可能被中间人攻击拦截,如果是通过短信发送的一次性密码,则可能会被实施SIM卡交换攻击的坏人拦截。
据报道,新加坡银行将使用数字令牌代替一次性密码,客户需要在移动设备上激活数字令牌,没有激活数字令牌的客户仍可以像以前一样使用一次性密码。
据新加坡银行公会透露,该国三大银行星展银行、华侨银行和大华银行60%至90%的客户已经激活了数字令牌。
“客户将使用数字令牌对登录进行身份验证,客户无需再使用容易被诈骗者窃取的一次性密码,可以更好地防御网络钓鱼者和诈骗者的攻击。”新加坡金融管理局解释道。
参考链接:
https://www.bleepingcomputer.com/news/security/banks-in-singapore-to-phase-out-one-time-passwords-in-3-months/