香港四大銀行相繼有客戶網上戶口遭「黑客」入侵,進行未經授權股票交易,有銀行界人士直言:「帳戶遭入侵,損失由銀行負責,賺錢則客戶袋,咁着數客戶都唔會緊張保安,但銀行會盡快強制要求用戶每三個月轉換一次帳戶密碼。」各界陸續接獲金管局網絡防衞計劃諮詢文件,諮詢期於八月三十一日結束。
用戶保安意識有待改善,帳戶密碼將成最先整頓範疇。現時網上銀行帳戶密碼一般為八個位或以上,滙豐及恒生(00011)的密碼可長達30個位,混合字母及數字,惟銀行大多沒要求密碼需包含大小寫字母及符號,亦未有要求客戶定期更改密碼。有銀行主管指,正着手強制要求用戶每三個月轉換一次帳戶密碼,並限制密碼不可為連貫數字及常用組合等,增加「黑客」入侵難度。
第二道防線為雙重認證,一向有用於高風險交易,但用於股票交易則不普遍,惟發生今次事件後,中銀香港(02388)已作出反應,上周起客戶交易需輸入一次用短訊密碼,渣打香港則指今年內會推雙重認證。
不過,有中小型銀行表示,股票交易設雙重認證成本高,「最慘係就算做咗,但客戶怕麻煩選擇唔用,根本唔能夠提高保安。」因此更傾向集中提升偵測可疑交易機制及強制要求定期改密碼。
雙重認證第一重一般為客戶自設密碼,第二重為保安編碼器顯示的一次用密碼、一次用短訊密碼或生物認證。香港資訊科技商會資訊保安召集人范健文表示,順應科技發展,指紋、聲音等生物認證會逐漸成為認證主流。
針對「黑客」入侵事件,金管局對銀行最新要求包括提升偵測可疑交易的機制,其他具體建議包括讓客戶選擇買賣股票時是否採用雙重認證及設定每日交易上限、要求客戶設定難以猜破的網上銀行密碼及定期作出更改等。