致命风险？？？UOB强制转换hardware secure token to software secure token

你一件事说对了，俺就认为这件事你说不定也对了。zzz

实体 token 可以风险自主控制，藏哪里自己决定但是软件token就被影响绑在身边了，一下风险系数飙升。

几个大银行的风险控制人员竟然都没发现其中的问题，真是太令人意外。
或者认为这些风险跟他们无关??

谢谢ls支持！这个关系到所有人的切身安全和利益，大家有机会就向银行和MAS反映反映。
这个政策实在是不能忍。。。

我不觉得风险有什么问题，Software token 到处在用，
银行也好，网站登入也好，
你要顾虑风险，到处都是危险。
什么绑架……
这种极小概率的事如果你都遇得到，
还是别硬抗 token 不在身边，
赶紧转钱事后找警察比较靠谱。

我只是觉得实体 token 有时候比绑定手机的数字 token 要方便些。

我说的是中资银行网银落后没有说物理token落后，相反我也非常喜欢物理token。DBS强制更换digital token，它家app的大小则从小于200MB一跳接近400MB，而且我之前用的旧手机得靠不停offload多个app才能腾出空间使用，气得我专门去给DBS app打最低分。

你还是没有get到那个点。。。你在家里随便你用什么token都没关系。

问题在于万一你身处不安全地方呢?
如果有人在新山晚上绑着毕生积蓄大剌剌走路，你认为那个人正常吗？
你带着你的software token在那里就是相同的效果。

你说的都是有道理的，但是关键问题不在于此啊。。。

不是已经给你提供解决方案了嘛把钱存到中资银行里，仍然使用物理token，并且被强制转换成digital token情况的出现很大可能会遥遥无期。完美解决你的问题。

可以呼吁有同样顾虑的人也可以用这个解决方案。

要是个不正常的在路上劫到了你，拿了手机钱包就跑了，还有空跟你扯皮研究你手机里都有些啥 app？
再不然，你的手机换中文界面咯，劫匪们多半不认识了。

在外界条件不变的情况下这确实是解决方案但是缺点也是很明显的，就是网点太少。。。

最好还是推动官老爷们动动屁股

到新山多次操作不可能构成异地异常操作吧？太多人这样做了何况新山可以收到新加坡手机信号，可以伪装受害者在新加坡。

条文太过抽象，如何实现，如何避免对正常交易的干扰都是很复杂的。
就是监测到异常，又有谁可以下肯定判断？擅自关停用户账号万一造成损失的话，找谁算账？

最简单干脆的，使用硬件token，让用户拥有自主权和灵活性。
不能为了避免使用硬件token削减银行成本而搞乱整个系统，特别是陷用户于危险境地！

硬件TOKEN劫匪也会叫你按给他的。

命和钱难道你选钱吗？

楼主是在探讨绑架犯罪的实施计划大家不要再讨论了，楼主这是要策划绑架并转走受害人UOB账号里的钱。他这么钻牛角尖，就是为了从各位银行从业人员口中找出制度设计的漏洞，以便实施他的计划。
散了吧，银行都是有设计安全制度的，细节都是机密，不要再讨论了。

MNC 一定会有内部RA文件。。。identify the risk > mitigate/control risk measures > monitor & review every xx years >....

那个guidelines很抽象
到了风险评估之类的文档 会有个别的例子和对应措施。。。

我倒是没想过绑架的问题但我担心丢手机的问题。手机丢了并且被破解密码进入的话，可以加入新指纹。指纹解锁进入手机上的任何app.包括银行的和email。进入任何银行的app转账。这时候不论sms还是email作为二级验证都没用了，因为都可以通过这同一部手机接收验证。前俩天忘了哪个银行的app,只接受启动指纹登录时设定的那一个特定指纹，这样应该安全的多，但其他银行的app貌似还是接受所有手机内存储的指纹。

正常情况下谁会把硬件token放在身边呢？就是有也是他们自己的选择。

现在是银行强迫所有人把software secure token放在身边

你这是毫无疑问的诽谤！已经截屏保存。

饭你可以随便乱吃，话不要随便乱讲！

千万不要天真的相信MNC或者大公司是个人就可能因为贪婪或者失误而出现问题。

手机丢失确实也是个大问题太多高级别权限都集中在手机上了，手机被破解或者被黑客入侵，那都是毁灭性的。

这个社会是越发展越傻吗？还是大公司们为了自身利益不断的往手机塞入高级别权限？
从而导致用户更加的脆弱？

为绑匪设身处地想一想用银行转账的绑匪是不是心有点大？
绑票都要现金的…

嗯，是的，楼上好些绑匪片看少了。zzz

楼主就是为了硬扯上十大而已不要太当真

既然你知道要去MAS反馈一下干嘛自己不去又矫情去RC呢？
直接去MAS

你知道本地不少人借出身份证和银行户口是为了干么吗？广为人知的是为那些电信诈骗或者大耳窿跑腿取钱。
为何屡禁不止？因为惩罚力度明显不是太大嘛。

万一这个模式被用于绑架呢？？
发颤了吧？

可以悄无声息的为何要大张旗鼓？你认为罪犯都是笨蛋吗？

以前罪犯要通过家属才能搞到钱的，现在直接通过受害者，其手机和软件token就可以了。
为何还要照着你的旧剧本呢？？

诈骗电话你一天接到几个？为何担心这个世界忘记了你的存在？即使你是个小民

你太天真了。。。

人微言轻，这不希望引起大家对这个漏洞的重视嘛。

你是否可以证明这个风险是个无中生有的东东？
还是你也相信有风险，但是就是要杠一杠？？

你的硬件token不是旧剧本。。。。。zzzzz

哈哈哈，你终于无话可说，只能左右而言它，嘿嘿嘿

不过这不是打嘴炮爽，这是真实的风险，大家有机会就反映反映，让银行收回这条成命。

楼主脑洞换的时候只考虑万一手机丢了怎么办？连短信验证码也是手机接收，token也是手机，转账也用同一个手机，感觉更不安全。倒是从未想过被绑架了怎么办？ OCBC更恶心，换个新手机，安装token后，还有等一个邮寄的密码，拿到这个密码才可以用所有的功能，有一次换了个手机，正好有事情要转账，因为一直没收到邮寄的密码，连payee都加不上，急死个人。

把坏人都想象成笨蛋的话，迟早要吃亏啊料敌从宽才能长青

大家忙着杠我，都忘记了被杠的主角应该是为了节省成本而加重用户风险的各大银行啊。。。

银行是你爹妈？无论干什么坏事你都护着？

不知道你的灵魂在哪里？

俺不跟你杠，也不是说风凉话，印象中是不是NPO就是为了这些事情而存在的？

NPO是啥?科普一下啊

没有火大啊，这是个正常的反问句啊一直反对，但是又不能证伪这个可能的风险，这不是正常的讨论，是在杠。

皇帝穿着新衣，大家都看不见或者怀疑自己的眼睛是不是看错了，或者害怕被主流声音质疑。
真实的童话再现啊。

做事情的方式啊，下面从wiki抄的，别要求俺码太多字plsA nonprofit organization (NPO), also known as a non-business entity,[1] not-for-profit organization,[2] or nonprofit institution,[3] is a legal entity organized and operated for a collective, public or social benefit, in contrast with an entity that operates as a business aiming to generate a profit for its owners. A nonprofit is subject to the non-distribution constraint: any revenues that exceed expenses must be committed to the organization's purpose, not taken by private parties. A wide array of organizations are nonprofit, including most political organizations, schools, business associations, churches, social clubs, and consumer cooperatives.

主手机不设token,一个副机设token放家里，可以这样解决吗？

这样当然可以解决问题，就是太麻烦成本太高相当于把家里的手机当成硬件token了

个别人使用是可以的，但是明显不适合大规模推广。
银行拉的屎但是让大家自己花钱察屁股，明显不合适

相当于在银行中设置两个独立账号？似乎不可行啊，银行会把你的账号都集中在一起管理的。

现在甚至不允许一个人申请两个ATMcard了。

只能说银行不是ngo,实在反应太大又拗不过银行的，只能自掏腰包不是吗

至于俺前面说的ngo, 就是让人帮你掏腰包boycott银行的具体办法zzz

谁说不能申请两个账号有些银行有几种savings/current account。你当然可以申请几种。

楼主，劝你别纠结这个了，既然绝大多数人，银行和监管机构都觉得无所谓，你瞎操这个心干嘛。求人不求己，你要是觉得不安全，自己采取措施就好了，比如出门前把手机里的银行 apps 都删了，或者找个可以隐藏 app 的 app，或者用另一部手机专门网银。

楼主自掏腰包觉得麻烦，难道耗动银行很容易？

楼主自我中心。。zzz

大家都习惯逆来顺受了当然了去反映问题肯定也是麻烦。

大概率大家只能坐等罪案发生，然后各银行和zf机构出来道歉赔偿改正。
我上周三向RC zoom meeting上的警察反馈这个问题，两天后要我发送详细的问题描述。
快一个星期过去了，还没回音。
不知道是理解这个太困难还是其中牵涉的成本太高，还是其中过程太复杂流程太长，还是什么。

我的意思是同一个银行只允许你有一个网络登录账号一旦登录就可观看所有名下账号。无法为这些账号做物理隔离。

肯定咯，你要在米国，可以街头抗议，

能干的话有人/企业sponsor你开个ngo可以当事业做，

为民众谋福利是好事，只是不一定都有能力有眼光有办法

言外之意是大家情愿坐等罪案发生也懒得动动屁股吗？反正我是极低风险的，那些银行相关行业并且需要经常出差的，他们才是极高风险人群。

他们不关心自己，我瞎操心啥。。。

干什么没风险呢？吃饭会噎死，走路会摔死。
言下之意是什么？都不要出门不要吃饭了吗？

重点在于风险高低，而不是有无大家enjory就好。

你觉得这样做风险高，其他人觉得风险低。听谁的呢？