近期許多投資人不管是從券商APP系統、EMAIL都陸續收到券商要求變更登入密碼的通知,這是證交所及全體券商為了防範駭客攻擊所祭出的強制措施,但這一項措施卻已被民眾瘋狂抱怨,認為是券商資安沒做好卻反倒變相懲罰客戶,根本是「擾民」。
系統無法做到這兩道防線的券商,必須在1/24前全面要求客戶更新密碼
據了解,證交所是在1月7日召集所有提供電子下單的券商開會,會中除了研議如何落實資安防護之外,證交所也要求所有提供網路下單服務的券商都必須要採行「雙因子」驗證機制的系統修改,若沒有「雙因子」驗證的券商就必須要求更改登入密碼。
所謂「雙因子驗證」指的是有兩道驗證程序,第一道是客戶的證券戶登入密碼;第二道則包括客戶在下載憑證時系統會透過手機傳送一組OTP密碼加以認證、又或者是券商系統透過手機綁定、生物辨識等第二道認證程序。
倘若假設券商系統短時間還無法做到,下載憑證時系統會自動透過手機傳送一組OTP密碼的話,那麼券商就以人工的方式,交由營業員去確認是否是客戶本人後,憑證才生效。
但由於市面上仍有許多券商未採行「雙因子」驗證機制,且修改系統需要作業時間,無法在短時間內完成系統修改,因此證交所才會要求,若無法時間內做到「雙因子」驗證的券商,必須在1月24日之前要求全數客戶更改密碼。
一名本土券商高層表示,「我們一定會要求客戶必須更改密碼,如果不改我們一定會有動作,比如說,期限內沒有更改密碼的話,你就沒有辦法下單,只能打電話給營業員下單,直到改密碼之後就能恢復下單功能。」
那麼將會涉及多少證券戶必須更改密碼?據統計,目前台灣總開戶數已超過1200萬人有證券戶,其中超過1000萬人以上有電子下單,而2021年有交易人數約來到550萬人。
(更多新聞:台股擠進全球前十大》台積電帶頭衝 台股市值衝破2.2兆美元 超車印俄、狠甩南韓)
客戶一組密碼走天下、券商資安又不夠嚴謹,駭客盯上券商
證交所副總經理趙龍向《信傳媒》指出,這一波的駭客攻擊的模式是利用第三方應用平台的客戶資料外洩,駭客取得外流的密碼及帳號,導致駭客進行撞庫攻擊時,讓證券商的資安系統無法偵測究竟是駭客行為還是投資人自身的行為,在這種情況下,假設不改密碼,駭客很容易就進入攻擊,「累計全體券商遭到駭客撞庫的戶數已超過百萬戶。」
再者,駭客究竟掌握了多少私人帳號跟密碼目前並不清楚,投資人因習慣用同一組密碼「走天下」也讓被撞庫的風險增加,「可能不需要多大技術的駭客就來攻擊了」。
由於台灣近期券商系統遭駭的情況實在太嚴重,讓證交所相當有感,趙龍指出,消費者經常要求券商使用要方便、速度要快,但相對犧牲的就是安全,加上民眾又在其他的社交平台、電子商務平台、網路購物、號稱是金融科技等平台使用同一組密碼,「有時候這些機構對於資料的安全要求並不高,很容易就讓駭客取得資料。」
(更多新聞:外資等不及了...聯發科車用晶片已低調出貨 今年最大成長仍是5G手機)
台灣資安竟是叫使用者改密碼…引發民怨
但趙龍也說,原來券商就得採行「雙因子」驗證機制,不少業者經常為了提供客戶更方便、更快的服務,盡量能簡化就簡化,就怕遭到客戶投訴不方便,「但是除了服務之外,我們也必須好好教育投資人,帳號跟密碼都是投資人很重要的交易工具,這等於是客戶自行保管印章一樣,隨意把印章交給別人就是風險。」
只是網路上有不少投資人對於證交所的作法感到不解,頻頻抱怨:「資安不去做,叫人家改密碼,笑掉大牙了」、「防止駭客入侵阻止源頭才對吧!怎麼反過來了呢?」、「台灣的資安就是叫使用者自己改密碼…」,甚至也有人質疑「難道改了密碼就不會被駭嗎?」
趙龍也坦言,這當然不是絕對有效,畢竟這必須視駭客的能力高低,但針對一般、非專業駭客勢必能有效阻擋;他也說,這是投資人、券商、主管機關三方都要重視的事,因此主管機關也會要求全數券商必須在今年第一季之前落實「雙因子」認證機制;證交所也會要求資安廠商進行加強資安控管。