致命风险？？？UOB强制转换hardware secure token to software secure token

已经清空uob账户如此低级错误实在是令人不忍直视

没人认为这是个问题吗？报告了这个问题给RC，工作人员开始上报研究了，不知结果如何

DBS也是这么做的吧忘了是不是还有硬件token选项 我的没电了 不想折腾就用了手机token

不止uob吧，dbs, ocbc都一样吧

楼主威武如果所有的银行都用one key，你清空所有银行的账户？呵呵

所有刚开始都是使用硬件token的后来估计为了节省成本就强迫大家使用软件token了。

但是给用户带来的潜在风险是巨大的。

这个不行啊把大家逼入险境，太不负责任了

大家为何不尝试一下向银行甚至MAS反馈一下呢？我向RC反馈了，他们上报开始研究了。

我想，要是反馈的人多的话，说不定就能逆转现在这个趋势。
这个现状实在是对所有人都很危险，难道真要等到出严重刑事案件之后才开始道歉赔偿改正吗？
精英治国可不是道歉治国啊!

有啥险境啊真钱很多又不想给钱（这才是险境）你可以当场把手机给砸了
处理问题有多种方式，不是只有一种方式

你认为被控制住之后你还有机会砸手机吗？大部分人估计腿都软了吧，脑子也一片空白了吧

一个预防措施 就是用另一个手机做这些东西吧 还有取消指纹或面部识别解锁

楼主你想太多了吧在新加坡和东南亚其他地方被人绑票的几率得有多小。。。

Token的主要目的是防止黑客之类网络犯罪的吧。不是绑匪。。。

有没有在银行工作的朋友银行内部是否有讨论过这个风险？或者根本不知道这个风险的存在？
风险管控何在？或者风险管控只关心银行的利益而不是储户的利益？

或者直接跟银行反映，强制转换硬件token同软件token的政策应该被取消！

有的人就是喜欢自己假设各种恐怖场景还觉得自己好正确，
绑架？谁来绑架你啊？
你以为你是李嘉诚啊？
还要有人来绑架你
最多你自己被骗还有可能，呵呵

新加坡也是出过非常严重的罪案的并且很多人到邻国，那里可没有那么多的监控摄像头，破案效率也不高。

你能保证新加坡人不到邻国吗？

手机被攻破的案例太多 了，明显不如硬件token安全。硬件token它可以没有联网的啊

当然没人注意我这个小蚂蚁，但是我关心你啊你如花似玉，被坏人欺负了可不好啊~~

小蚂蚁还要来关心我啊走好不送

走在新山的街头，身上带着一大笔钱的话，大家会担心吗？并且给你挂个大牌子，本人身上带着全部积蓄。
犹如一堆堆会行走的新币，好香好香啊。

光天化日之下都会发生凶案的地方，有什么是不可能的呢？

李嘉乘的孙子们，其实最危险。zzz

楼主自己想对策吧如今网银大行其道，发生大规模安全事件可能只是时间问题。
比如不把鸡蛋放在一个篮子里。用一个专用手机在家对大额账户进行操作，等等。大家可以想想还有没有其它办法。
银行和监管机构只有在发生大规模安全事件后才出台新的安全规范。楼主是先知先觉，也要先行动起来。

简单，取消指纹或者面部登陆只能用密码才能登陆，然后你被绑架之后打死都不说密码。绑匪怎么办？

支付宝转账需要token吗？现在似乎中美新都在走soft token的路线，大势所趋

其实解决的方法非常简单，不需要这么麻烦设立AB户头，大钱放A小钱放B外出带B户头手机设定就好了

手机指纹密码比token 更安全楼主你认为绑匪会允许你打开手机吗？手机的GPS功能会显示你的行踪和位置，暴露了绑匪的地点。
银行帐户可以用Singpass操作了，而Simgapass 也开始用手机指纹密码代替传统的token。

受害者的指纹已经被绑匪控制了啊人都被控制了，什么指纹，密码，人脸识别都是摆设啊

他们可是有顶级保镖的，诸位呢？？

“银行和监管机构只有在发生大规模安全事件后才出台新的安全规范”如果真是这样的话，要那些安全专家银行高管干么呢？

为什么新加坡没有遭受入侵却要花大笔金钱进行国防建设？
何不等到入侵开始了再来建设国防？

感觉管理素质下降的厉害。。。

现在的系统设计都是假设用户对账号拥有完全控制权而没有设想用户被人控制后如何应对。

硬件token的出现其实是非常好的最后一道防线，绝对不可以被软件token取代。
并且以色列都研制出手机破解方式可以同时破解apple和android了，无需任何安装就可以完全控制你的手机。
万一这个软件被普及，那么手机还有什么安全性可言？

两个手机两个户头确实是挺麻烦的。。。

还是请MAS出手规范一下银行所为才比较方便快捷些。。。

我觉得人被绑了绑匪比较快的大额回款的方式是把这俩大腰子卖了。你用hardware token也没关系，打电话给家人，有多钱都能搞来，还可以让你去借，搞更多。人被绑了搞钱的方法是无限的。有没有token都能搞来。

支付宝账号和银行账号还是不同很少人会把所有钱放在支付宝，即使有也是他们自己的选择。
大部分人还是有机会放在银行户头，接受硬件token的保护。

而新加坡面临的问题是没有选择的机会，所有银行都这样做。
一旦硬件token没电，那就必须被迫选择软件token。

网上转账顶线一般是3000，要增加不容易。若是大笔钱突然转到国外，银行不会执行放心

一旦绑匪打电话给家人，那刚好让警方掌握线索。

绑匪还是喜欢静悄悄的进村，打枪的不要。
软件token刚好成了绑匪的好帮手。

这次银行是助纣为虐了。

硬件token也改变不了吗？默认预设值或许如你所说，但是硬件token或者软件token都可以修改啊。

这正是软件token的危险之处，它永远跟随着手机和用户。

没有百分百安全追求便利也必然牺牲安全性，与其依赖硬件token做最后一道防控不如加强全方位立体防控，像你这种例子首先异地登陆就会被当成敏感事件处理，想转大额恐怕没那么容易。

虽然可以修改，但是银行会反复确认，没那么容易，尤其是大额转国外，会让你去银行办

据说新山可以接收到新加坡信号硬件token还是最优解，我没说它没有缺陷。

万一绑匪冲到家里也是可以翻出来的，但是绑匪也更加的容易暴露。
这就是硬件token的安全之处。

每次都在限额内呢？总是可以达到目标。并且是迅速达到目标。

很多小百姓储蓄可能都到不了硬件token的顶限，就是达到了，搞个两三天也就没钱了。

MAS TRM guidelines对应 多次小数额 异常的交易

14.3 Fraud Monitoring

14.3.1 The FI should implement real-time fraud monitoring systems to identify and block suspicious or fraudulent online transactions. For example, transactions or payments exhibiting behaviour which deviates significantly from a customer’s usual usage behaviours, or abnormal system activities (e.g. multiple sessions using an identical customer account originating from different geographical locations within a short time span).

14.3.2 A process should be established to investigate suspicious transactions or payments and to ensure issues are adequately and promptly addressed.

14.3.3 The FI should notify customers of suspicious activities or funds transfers above a threshold that is defined by the FI or customers. The notification should contain meaningful information such as type of transaction and payment amount, as well as instructions to report suspicious activities or unauthorised transactions.

致命风险？？？UOB强制转换hardware secure token to software secure token万一有用户被绑票了，那么毕生血汗钱不就没了吗？
绑匪掌握了肉票，肉票手机和software secure token，那么提款转账就没有限制了啊啊啊。。。
绑匪万一得手，是否高兴的发慌，然后为了避免增加警方线索而痛下毒手？？

uob用户到马国，印尼，泰国的话，风险岂不是更高？？？

---
该帖荣获当日十大第2，奖励楼主18分以及27狮城帮币，时间：2021-07-26 22:00:05。
---
该帖荣获当日十大第7，奖励楼主6分以及9狮城帮币，时间：2021-07-27 22:00:20。

你何不把新币帮在自己的腰上呢？反正没人敢动你，顺便方便泡妞，多好，是吧 ？

楼主草率了..... 账户里没有钱

你现在急着等银行觉得烦但是万一碰到危险，这些流程却可能发挥重要保护作用。

顺境和逆境中，同样一个东西的作用可以是完全相反的。

ls来晚了，撕逼大战已经爆发良久，现在才等来你的踪迹

明晃晃的一堆新币在摇摇摇啊，这是心有多大啊，幸亏他不是在新山巴旦的丛林边

dbsdbs 也是全面支持digitlal token

没有银行业内人士出来澄清一下吗？可能或者不可能？

中国本土银行网银落后ICBC和BOC目前都还在用物理token。转换成digital token的进度相信还很落后，可能相当长的时间都要用物理token。

LZ把大额资金都存到中资银行吧，好像也没什么能想到的会造成很大不便的坏处。

其实实体 token 也是必须的。比如说，你是主卡，老婆是副卡。
老婆家里做账，
她就不能用自己的账号（数字 token） 登入，
不然只看得到副卡的消费记录。
得用主卡的账号登入，这时家里有个实体 token 就很方便了。
因为这个原因，我的信用卡只用 Citi 和 Amex。
Citi 还发实体 Token，
Amex 根本不用 Token。。。

我真没认为“物理token”落后就是落后又如何，关键是是否安全。

大家可以和物理token分开，但是无法和手机上的软件token分开。这是最大的风险。

大公司的服务器备份都要分开在三个不同的地方备份的，就怕那万分之一的意外概率。
人和物理token也是如此。