炒股雙重認證 銀行抗拒
銀行的證券業務正處於腹背受敵的困境,一方面擔心證券客戶受黑客騷擾,必須加強網上股票交易的保安,但面對券商紛推減佣優惠搶客,為免客戶嫌麻煩流失至券商,銀行界對金管局提出股票交易必須強制做雙重認證及驗證碼的建議極有保留。永隆證券部主管招志文稱,除非全港股票買賣平台都強制做雙重認證,銀行沒必要強制推行。
未有具體推行時間表
就黑客入侵銀行、利用客戶資金炒股一事,金管局早前去信銀行提出7項建議,包括客戶買賣股票須進行雙重認證,登入帳戶時亦要輸入驗證碼,及進行交易後收到銀行短訊提示等,信件未提及具體推行時間表。銀行公會綜合銀行意見作出回覆,認同金管局其中5項建議,惟對雙重認證及驗證碼有保留。
雙重認證第一重一般為客戶自設密碼,第二重為保安編碼器顯示的一次用密碼或一次用短訊密碼,雙重認證較單重安全,但往往不太受客戶歡迎。按現行監管法例,銀行及券商平台均不需要做雙重認證。招志文指:「有些客人重視保安,有些重視效率,冇必須強制客戶使用。」永隆及星展香港為少數已推股票雙重認證銀行,並容許客人選擇是否採用。
憂客戶嫌煩轉投券商
部分銀行擔心雙重認證趕客,向金管局反映較合適的處理是讓客戶自行選擇是否採用、而非強制執行。有銀行主管表示:「有客人慢幾秒都唔得,賺少咗都還好,輸多咗點算?一定收投訴。」
他提出,客人大多不帶保安編碼器外出,而短訊密碼於香港以外地區或未能接收,雙重認證將為炒股人士帶來諸多不便,令銀行客轉投券商懷抱。事實上,已有券商把握機遇高調宣傳,銀行客過檔可免轉倉費及享免佣優惠。
驗證碼保安功能有限
此外,早前有銀行戶口遭Hack事件曝光後,中銀香港(02388)及永隆隨即引入於登入股票帳戶時須輸入驗證碼的安排。
不過,有銀行認為,驗證碼的保安功能有限,僅能夠分辨嘗試登入的是人還是機器,保安措施並不能無止境的增加,應該於網絡安全及用戶體驗取得平衡。
金管局向銀行提出七項建議
1.客戶登入股票帳戶時,需做驗證碼測試*
2.客戶進行股票交易前需做雙重認證*
3.客戶進行交易後收到銀行短訊提示
4.股票帳戶密碼保安要夠強,例如達到一定複雜程度
5.銀行需向客戶提供網絡安全教育
6.銀行需監察客戶IP地址
7.銀行需偵測可疑網絡活動
*銀行界對建議有保留