สมาคมธนาคารสิงคโปร์ประกาศมาตรการเตรียมนำไปสู่การยกเลิกใช้งาน OTP ทั้งระบบ โดยเริ่มจากผู้ใช้ที่เปิดแอป digital token ไว้แล้วภายในสามเดือนข้างหน้าจะไม่สามารถใช้งาน OTP ได้อีก แต่สำหรับผู้ที่ยังไม่ได้ลงแอปนั้นธนาคารจะพยายามผลักดันให้ติดตั้งแอปต่อไป
One-Time Passwords (OTPs) เคยเป็นมาตรฐานที่ดีสำหรับการล็อกอินขั้นที่สอง มันช่วยลดความเสี่ยงที่ผู้ใช้จะถูกขโมยรหัสผ่านได้อย่างมาก อย่างไรก็ดี คนร้ายปรับรูปแบบการโจมตีโดยอาศัยเว็บ phishing ที่สามารถหลอกเหยื่อให้ใส่ OTP ไปยังคนร้าย หรือหากใช้ SMS OTP ก็มีความเสี่ยงที่จะถูกขโมยหมายเลขโทรศัพท์เพิ่มเข้ามา ทุกวันนี้แนวทางการล็อกอินขั้นที่สองต้องพิจารณาถึงการโจมตตี phishing เสมอ เช่น U2F หรือ FIDO ที่ตรวจสอบ URL ของเว็บที่ใช้งานอยู่ตลอดเวลา
Digital Token เปิดทางให้ผู้ใช้สามารถยืนยันการล็อกอินหรือธุรกรรมอื่นๆ ผ่านทางแอปพลิเคชั่นธนาคารได้ โดยผู้ใช้เพียงกดยืนยันการทำธุรกรรมผ่านหน้าจอแอปพลิเคชั่น โดยตัวแอปพลิเคชั่นสามารถยืนยันตัวตนผู้ใช้ที่กดอนุญาตการทำธุรกรรมด้วยลายนิ้วมือ, ใบหน้า, หรือ PIN ได้อีกชั้น ผู้ใช้จะเห็นว่าธุรกรรมที่กำลังยืนยันนั้นเป็นอะไร ทำให้ลดความเสี่ยงในการถูก phishing ที่คนร้ายสามารถนำ OTP ไปทำธุรกรรมอะไรก็ได้
แม้ว่าทางสมาคมธนาคารสิงคโปร์จะขีดเส้นตายไว้ที่สามเดือนข้างหน้า แต่แต่ละธนาคารอาจจะมีกำหนดการต่างกันไป เช่น UOB นั้นกำหนดยกเลิกการใช้ OTP สิ้นเดือนกรกฎาคมนี้
ที่มา - Association of Banks in Singapore

on
น่าสนใจ
KuLiKo Mon, 15/07/2024 - 12:17
น่าสนใจ แต่ถ้ามือถือพังไปก็ลาก่อย
กลับไปสาขาครับ เช่นเดียวกับ
lew Mon, 15/07/2024 - 12:35
In reply to น่าสนใจ by KuLiKo
กลับไปสาขาครับ เช่นเดียวกับ HW OTP พัง
ต่อให้ยังมี otp
forl Mon, 15/07/2024 - 12:37
In reply to น่าสนใจ by KuLiKo
ต่อให้ยังมี otp แต่ถ้ามีเหตุเช่น มือถือพัง ซิมหาย เบอร์หาย ก็ต้องไปธนาคารไม่ต่างกันครับ
เคยมือถือพังนะครับ
tom789 Mon, 15/07/2024 - 12:55
In reply to น่าสนใจ by KuLiKo
เคยมือถือพังนะครับ แล้วทุกแอพต้องยืนยันผ่านมือถือหมด ต้องไปซื้อเครื่องใหม่เลย
การไปธนาคารเลยก็ปลอดภัยดี
hisoft Mon, 15/07/2024 - 13:44
In reply to น่าสนใจ by KuLiKo
การไปธนาคารเลยก็ปลอดภัยดี แต่ถ้ามีเหตุให้ไปธนาคารไม่ได้ สาขาอยู่ไกล (เช่น ไม่ได้อยู่ในไทย) นี่ก็จอดเหมือนกัน
จริงๆ ประเทศเล็กๆ แบบสิงคโปร์น่าจะพอเอาระบบ National Digital ID ไปใช้ได้บ้าง (e.g.)
จริงๆ
lew Mon, 15/07/2024 - 14:22
In reply to การไปธนาคารเลยก็ปลอดภัยดี by hisoft
จริงๆ หลายเคสยอมให้ยืนยันตัวตนใหม่ออนไลน์นะครับ อาจจะเป็น video call แต่ IAL อาาจจะต่ำกว่า ทำธุรกรรมบางประเภทไม่ได้
ตอนที่เพิ่งเปลี่ยนโทรศัพท์ตอน
hisoft Mon, 15/07/2024 - 15:12
In reply to จริงๆ by lew
ตอนที่เพิ่งเปลี่ยนโทรศัพท์ตอนเดือน 3 นี่เข้าสาขาถี่มากเลยฮะ หลายธนาคารเรียกให้เข้าไปเพื่อยืนยัน บางธนาคารถึงกับต้องเข้าไป dip บัตรประชาชนใหม่เพราะเปลี่ยนบัตรมาปีที่แล้ว ธนาคารไม่มีข้อมูลล่าสุดก็ไม่ยอมให้ทำอะไรเลยจนกว่าจะเข้าไปเอาบัตรเสียบที่สาขา
มันเป็นความสะดวกที่มาพร้อมควา
forl Mon, 15/07/2024 - 12:38
มันเป็นความสะดวกที่มาพร้อมความเสี่ยงล่ะนะ ถ้า OTP มันก็สะดวกดี แต่มันก็เสี่ยงตามความสะดวกที่ได้มา
ในเมืองไทยเห็นหลัก ๆ ก็
FutureLifePlus Mon, 15/07/2024 - 12:41
ในเมืองไทยเห็นหลัก ๆ ก็ UCHOOSE มี ไม่แน่ใจว่าแอปธนาคารอื่นมีแบบนี้เหมือนกันมั้ย
ผมอยากให้ธนาคารไทยรองรับ 2FA
Iamz Mon, 15/07/2024 - 15:27
ผมอยากให้ธนาคารไทยรองรับ 2FA แบบ hardware token มาก จะเอาให้ทุกคนในบ้านใช้เลย
ลงทุนสูงไปหน่อย
Ooh Mon, 15/07/2024 - 15:46
In reply to ผมอยากให้ธนาคารไทยรองรับ 2FA by Iamz
ลงทุนสูงไปหน่อย
หมายถึงต้นทุนฝั่งธนาคารหรือลู
Iamz Mon, 15/07/2024 - 18:04
In reply to ลงทุนสูงไปหน่อย by Ooh
หมายถึงต้นทุนฝั่งธนาคารหรือลูกค้าครับ ฝั่งธนาคารแค่ทำให้รองรับไม่น่าต้นทุนสูง ส่วนฝั่งลูกค้าก็ให้เป็นทางเลือก ใครมีก็เพิ่มเข้าไปได้ ใครไม่มีก็ใช้แบบตอนนี้เหมือนเดิม
ลงทุนสูงเลยหล่ะ
Ford AntiTrust Mon, 15/07/2024 - 21:38
In reply to หมายถึงต้นทุนฝั่งธนาคารหรือลู by Iamz
ลงทุนสูงเลยหล่ะ เพราะมันต้องซื้อ license ตัว iam เพิ่มสำหรับส่วนนี้ เพราะระบบ iam พวกนี้คิด license เป็นจำนวน user ครับ ไม่ใช่แบบเหมา (ยังไม่รวม M/A รายปีอีก ราคาก็ตามจำนวน user ใน iam ด้วย)
นี่อยู่เอสโตเนีย ระบบ
hisoft Mon, 15/07/2024 - 17:29
In reply to ผมอยากให้ธนาคารไทยรองรับ 2FA by Iamz
นี่อยู่เอสโตเนีย ระบบ national ID คือบัตรประจำตัว (smartcard เหมือนๆ ของไทย) และแอปโทรศัพท์ (มีระบบซิมโทรศัพท์ด้วยแต่ยังไม่เคยใช้) เป็น 2FA อัตโนมัติที่มีทุกคนเลย (2FA เพราะนอกจากมีของอย่างตัวบัตรหรือแอปที่ติดตั้งไว้แล้วต้องมี PIN ด้วย PIN1 - สำหรับยืนยันตัว PIN2 สำหรับลงลายเซ็น) เข้าแอปธนาคารไม่ว่าเจ้าไหนก็ใช้อันนี้ login (รวมไปถึงสารพัดระบบ แอป supermarket หรือเลือกตั้งออนไลน์ก็ยังใช้)
แล้วถึงเอาไป login แอปธนาคารได้ (ไม่ว่าด้วยช่องทางใด) พอจะโอนเงินไปที่แปลกก็ต้องลงลายเซ็นด้วย PIN2 อีก (เหมือนเวลาเราไปสาขาแล้วต้องเซ็นใบถอนเพราะลายเซ็นจาก PIN2 มีกำกับว่ามีผลในทางกฎหมาย แต่ออนไลน์)
แล้วแอปไม่ใช่ login แบบกดยืนยันเฉยๆ เป็นการ generate public/private keypair เหมือนในตัว smartcard เลยแล้วมี certificate chain ไล่มาจากทางรัฐอีกที เวลาจะเอาแอปนี้ไปลงเครื่องใหม่ login ด้วย user/password ไม่ได้ต้องเอาบัตรไป login แล้วใช้ PIN2 ลงลายเซ็นด้วยว่าจะสร้าง keypair & cert ใหม่มาใช้
เนี่ย แล้วคือมีทั้งแอปทั้งเว็บ ไม่ตรวจแคปจอ ไม่ตรวจ accessibility service จะใช้อะไรจะทำกันยังไงก็ทำไป ช่องทางดัก login ไปใช้ขโมยเงินนี่กันได้ค่อนข้างดีจากตัวโครงสร้างพื้นฐานเค้า
ถึงอย่างนั้น scammer ก็ยังเยอะนะฮะไม่ใช่ไม่มี แต่เป็นหลอกให้โอนเงินดื้อๆ 🥲 เผลอไม่มีสติไป login online ให้เค้าก็เสียได้เหมือนกัน
อยู่เอสโตเนีย
Tasksenger Mon, 15/07/2024 - 18:18
In reply to นี่อยู่เอสโตเนีย ระบบ by hisoft
อยู่เอสโตเนีย นี่เทพด้านระบบสารสนเทศภาครัฐเลยนี่ครับ เขามีระบบอะไรน่าสนใจที่แตกต่างจากที่ไทยบ้างครับ เคยดูข่าวเรื่องสังคมดิจิทัลในเอสโตเนีย แต่มันเป็นภาพรวมๆ ไม่ได้ลงรายละเอียด มีอะไรที่น่าสนใจที่ทำให้ประเทศเขาพัฒนาได้เร็วได้ในระยะแค่ 30 ปีบ้างครับ แชร์หน่อยจะเป็นพระคุณอย่างสูง
เยอะมากจนยังหาเวลาเล่าเป็นเรื
hisoft Mon, 15/07/2024 - 19:22
In reply to อยู่เอสโตเนีย by Tasksenger
เยอะมากจนยังหาเวลาเล่าเป็นเรื่องเป็นราวไม่ได้ฮะ 😅 แต่ถ้าสรุปสั้นๆ (จะพยายาม)
คลิปนี้ไม่ได้ละเอียดแต่คิดว่าเข้าใจง่าย
ขอบคุณมากครับ
Tasksenger Mon, 15/07/2024 - 19:51
In reply to เยอะมากจนยังหาเวลาเล่าเป็นเรื by hisoft
ขอบคุณมากครับ
OTP พวกนี้ยกเลิกหมดเลยครับ
lew Mon, 15/07/2024 - 19:22
In reply to ผมอยากให้ธนาคารไทยรองรับ 2FA by Iamz
OTP พวกนี้ยกเลิกหมดเลยครับ เพราะเลขจาก token ก็โดนคนร้ายหลอกไปใส่เว็บ phishing อยู่ดี
ดันอันนี้เหมือนกัน
Holy Mon, 15/07/2024 - 21:24
In reply to ผมอยากให้ธนาคารไทยรองรับ 2FA by Iamz
ดันอันนี้เหมือนกัน เมื่อไหร่จะมี จะให้คนที่บ้านใช้เป็นบัญชีหลักเลย
ผมว่าช่องโหว่ของ SMS
sMaliHug Mon, 15/07/2024 - 19:09
ผมว่าช่องโหว่ของ SMS คือแอฟที่ใช้จัดการsms มันไม่ปลอดภัย เช่นแอฟอื่นเข้าถึงได้ การเข้าไปอ่านเอา SMS ทำได้ง่าย ที่จริงถ้าเจอกันครึ่งทางก็น่าจะทำsmsให้แข่งแกร่ง และไม่มีการเปิดช่องให้allowเลยจะดีกว่า คือทำเหมือนแอฟ authen ไปเลย
แอปไม่ปลอดภัย
hisoft Mon, 15/07/2024 - 19:24
In reply to ผมว่าช่องโหว่ของ SMS by sMaliHug
แอปไม่ปลอดภัย โปรโตคอลไม่ปลอดภัย ขั้นตอนการขโมยซิมไม่ปลอดภัย หลายชั้นมากไปแหละฮะ ไม่น่าแก้ได้
คนไทยน่าจะยังไม่ชินกับ
crisis_xiii Tue, 16/07/2024 - 11:34
คนไทยน่าจะยังไม่ชินกับ digital token เท่าไร ต้อง run parallel กันไปซักพัก ก่อนจะ notice ล่วงหน้าว่าจะยกเลิก
วนไปเรื่อย
Guidenogo Wed, 17/07/2024 - 10:17
วนไปเรื่อย ขึ้นอยู่กับมิจฉาชีพถนัดแบบไหน ก็หนีไปอีกทาง