【独家】取消短讯OTP可行　网络安全专家：应改变OTP生成方式

（吉隆坡30日讯）国家银行宣布将取消以短讯发送一次性密码（OTP）的措施引起议论，此举的可行性和是否能有效打击金融诈骗，备受关注。

网络安全服务公司LGMS首席执行员兼网络安全顾问冯宗福坦言，OTP验证还是最安全的方式之一，只是需要改变其生成方式。

他接受《东方日报》访问指出，国行宣布欲取消的是以短讯方式发送的OTP，与直接取消OTP有本质上的不同。

他认为取消短讯发送OTP是可行的，将有助于降低金融诈骗，因为短讯相对于其他生成方式，更容易被骇或被盗用。

他解释，诈骗集团在骇入手机时能更轻易的获得短讯上的讯息，而若是使用其他方式，如手机应用程序生成OTP，会更有保障。

他说，取消以短讯发送OTP后，可以用其他方式，如软件令牌（software token）和硬件令牌（hardware token）的方式生成OTP。

他以马银行（Maybank）为例，该银行已推行手机应用程式Secure2u作为生成OTP的方式，即在需要输入OTP时，可以点击链接从Secure2u获得OTP。

他补充，此方案就是利用软件令牌生成OTP，其好处是能让不法份子更难骇入以获得OTP。

而汇丰银行（HSBC）则使用了硬件令牌的方式来预防OTP被盗用，即该银行会发放可携带式安全密码器，必须从密码器获得OTP才能继续进行交易。

他强调，OTP的安全性是毋庸置疑的，但其生成方式可以再加强，事实上，许多银行都已经开始舍弃以短讯发送OTP，而改以其他方式进行。

近期发生多宗金融诈骗案导致人心惶惶，许多现身说法的受害者表示，他们是在不知情的状况下被盗走OTP，甚至在没有OTP的状况下被不法份子盗取银行内的血汗钱，令他们欲哭无泪。

国行日前终于开腔表示，将落实5大措施预防金融诈骗，其中就包括取消以短讯发送OTP给客户。

大马银行公会执行董事卡帕纳则指出，一些银行很大程度上已经放弃以短讯发送OTP，而尚未落实此类措施的银行，也已经加速跟进其他银行的脚步。