Search
手機版 Facebook 支援安全性金鑰登入,提供更強安全度
----
FB 追蹤我們,按讚、搶先看!
IG 搜尋 https://www.instagram.com/engadgetchinese/
TG 加入 https://t.me/engadgetchineserss
----
#科技 #Tech #新聞 #評測 #香港 #台灣
2017-04-12╱工商時報╱第A6版╱政經八百╱台灣經濟研究院院長、台大經濟系教授林建甫
《學者觀點》APPLE PAY 帶動台灣行動支付發展
根據金管會5日的統計,3月29日才上路的APPLE PAY綁卡張數已達41.5萬張,但「台灣行動支付公司」發行的T-WALLET行動支付,俗稱台灣PAY,用了7個月時間卻只有綁定3.3萬張信用卡,台灣PAY完敗,引發各界討論。
本質上APPLE PAY與台灣PAY都是透過行動裝置綁定信用卡,結合近場通訊(NFC)技術、指紋辨識等功能的行動支付,大幅簡化消費的過程,同時也有不用帶現金、實體信用卡,不用簽名且信用卡資訊不會保存在店家等優勢,某種程度可看成信用卡載具的變革。
但進一步來看其實兩者的核心技術不太一樣。APPLE PAY、SAMSUNG PAY、ANDROID PAY等是利用智慧型手機或行動裝置本身所設計的行動錢包來綁定消費者手中既有的信用卡,通過線上註冊,銀行核卡等申請,就能用「手機中的信用卡」消費。
而台灣PAY是使用GOOGLE的「HCE(HOST CARD EMULATION,主機板模擬)」模式,透過「代碼化(TOKEN)」技術,將安全元件置放在雲端支付平台,並透過網路定時(例如1小時)發送一次性加密金鑰來驗證手機安全性與合法性。簡單來說,「HCE」把所有資訊放在雲端,因此只要手機有NFC就能用,不限定手機廠牌,缺點是必須維持網路連線才能完成支付程序,而APPLE PAY在沒有網路的環境中也能完成刷卡。
公允而言,台灣PAY安全性、彈性都比APPLE PAY更好,而且不只能綁信用卡,還可以綁定金融卡,各方面來看,應該獲得比APPLE PAY更多的使用者。但實際情況卻事與願違。因為台灣PAY必須先下載APP,使用時必須打開手機輸入密碼登入該APP後再點選相關卡片付款,有點小麻煩。難怪下載「T WALLET + 行動支付」的用戶對該APP的評價普遍來講都不高,給1顆星相當多。
另外由於國內銀行對於APPLE PAY的競爭十分激烈,形成買方談判籌碼被各個擊破,主導權完全在APPLE的「賣方市場」。目前APPLE與國內7家銀行簽定三年合約,但合約期滿APPLE將根據該行的發卡績效以及消費量,來決定是否續約及抽成費用比率。一旦發卡量未達標準,不僅抽成費率提升,還可能面臨無法續約的窘境。除了APPLE PAY的強勢,這兩年進軍行動支付的LINE PAY也有許多不公平的情事。行動通訊軟體LINE在台灣有超過1,700萬的用戶,全球密度第一,但LINE在台灣沒有實體客服單位與電話,只接受線上申訴,消費者只能被動等待,甚至是「已讀不回」。
同時LINE使用條款訂下許多不合理的條文,例如:LINE可以不用通知客戶,直接對任何帳號停權、終止或變更服務,且用戶所購買貼圖、代幣也不用復原。另外,使用者條款明訂東京法院為管轄法院,以日本法律為準據法,若發生消費糾紛,規定消費者要打跨海官司。這些不平公的條文或模式,消基會早在2015年就提出,但迄今LINE仍沒改善或回應。
台灣電子支付與行動支付的發展相當落後,根據金管會2016年「金融科技發展策略白皮書 」指出,台灣電子支付比率為26%,遠低於鄰近國家南韓77%、香港65%、中國56%和新加坡53%,發展起步相對晚了許多,我們如何追上其他國家,是大家應該面對的大課題。
現在APPLE PAY的風行剛好可以帶動台灣電子支付的發展。政府應該思考整合民間企業力量共同來融入這個新創的浪潮。這次APPLE PAY事件也突顯台灣企業規模不足,力量分散使得談判落於弱勢,只能被動接受APPLE所提出之不平等合約的現況。因此建議政府要硬起來,匯合企業與消費者的力量,增加談判的籌碼,不要讓錢都給這些國際大企業賺走了。
另者,培植台灣企業的發展來與APPLE PAY競爭,也是應為的策略。未來發展科技簡化台灣PAY的支付模式,讓更多的人樂意使用台灣PAY。而鼓勵店家設置更多的感應讀卡機,讓刷卡機的聯通,結合悠遊卡功能、以及做儲值、交易、轉帳功能的整合,做商店通路的拓展,都是廣泛必要的行為。
https://ctee.com.tw/News/Expert.aspx?newsid=9006&cateid=ljp
無所不在的物聯網設備,你我都需要正視所帶來的資安問題
在2017年資安大會中,Hitcon Girls共同創辦人賴婕芳與沈祈恩認為,目前物聯網裝置的應用會越來越普遍,但與其有關的資安事件頻傳,因此無論是製作的廠商,還是企業乃至於個人,都應該提高警覺,重視這些設備的安全性。
文/周峻佑 | 2017-03-18發表
周峻佑
Hitcon Girls共同創辦人賴婕芳與沈祈恩在2017年資安大會的議程中疾呼,物聯網(IoT)裝置所衍生的資安問題必須受到正視,因為比起電腦,這些裝置可能會接觸到更多個人隱私,或是影響人身安全與國家安全,一旦遭受駭客攻擊,後果便不堪設想。物聯網裝置的安全與我們息息相關,無論是製造者還是使用者,你我都必須暸解如何降低其資安風險。
物聯網裝置帶來不少便利性與創新應用,因此受到人們的歡迎。物聯網這個名詞,最早出現於1999年,但直到2013年之後,成為開始熱門討論的話題,然而,根據2015年AT&T所做的調查報告中指出,在受訪的5,000家企業中,有高達85%想要發展物聯網應用,卻只有10%的企業有信心能夠應付駭客的攻擊,顯示物聯網的資安問題,連企業普遍都沒有把握。
另一個面向,則是從Symantec、FireEye、趨勢科技、Intel Security、Kaspersky等資安大廠2017年的預測報告中,可看出端倪。這些報告不約而同指出,物聯網裝置會帶來嚴重的資安風險與網路攻擊。賴婕芳以2016年10月時,DNS供應商Dyn遭受大規模DDoS攻擊的事件為例,其中一部分是由Mirai控制的物聯網裝置僵屍網路所發動。這個事件造成採用的Dyn服務的知名網站,包含BBC與GitHub等受到波及。然而,駭客取得這些物聯網裝置控制權的方法,僅僅只是透過了測試60組常見的預設帳號與密碼就得手。
應用層面廣泛,無論是小朋友的玩具,還是學校的路燈,全都是物聯網裝置
其實物聯網涉及的領域相當廣泛,無論是金融、公共服務、製造業、零售業,乃至於與人身安全有關的醫療、國家安全有關的能源設施,都有相關的應用。還有,近年來常見的智慧家庭,也使用了大量的物聯網裝置。
賴婕芳舉出許多案例,像是互動式芭比娃娃,透過了像是Siri的機制,就能和小朋友對話,然而卻被發現,其網路通訊可能會被有心人士攔截,讓芭比說出指定的內容,如果這個駭客是個戀童癖,很可能會讓小孩與家長飽受驚嚇。
此外,美國有間大學受到DDoS攻擊,經調查卻來是自校內的路燈、販賣機等物聯網設備,但學校並未想到這些校內設施,都是屬於這類設備的一部分。
物聯網設備甚至會造成人身威脅,例如駭客可控制汽車的自動駕駛系統,透過槍枝的管控系統,駭客可執行射擊。
物聯網安全是一整個生態圈的事情
基本上,許多人想到物聯網的資安問題,可能會以為主要是對於裝置加密,消除漏洞等防護措施。但事實上,我們手上的物聯網設備,只是傳感器(Sensors),背後擁有一個生態圈,還包含網路與應用程式等。但從駭客攻擊的面向來看,則略有不同:大致上可分成硬體設備、連接性(Connectivity),以及應用程式3塊。
硬體指的不只是物聯網設備本身,還包含整個生態圈設施,像是閘道設備,或是執行應用程式的手機等,駭客可透過這些裝置發動攻擊。
連接性指的是任何連接的階段、過程,包含網路流量、生態圈通訊,以及設備之間的連接,或是應用程式之間的API等。
應用程式則包含物聯網裝置本身的軟體、雲端網頁介面或管理者介面等。
在物聯網硬體出現的問題中,賴婕芳舉了RFID卡Mifare Classic為例,這種卡片遭到逆向工程解析後,被發現金鑰只有48 bits,極容易破解,她說,以現在的角度來看,只要在淘寶花5美元,就能取得相關的修改工具。
而對於連接性的問題,像低功耗藍芽通訊(BLE)來說,在需要溝通的兩個設備之間,由於像手環一類的設備沒有螢幕,只能使用配對機制中的Just Work驗證方法(無密鑰),在這種情況下就很容易遭受中間人攻擊。
但其實另外一層隱憂,則是更多裝置的BLE通訊過程完全沒有加密,以賴婕芳他們測試過的小米手環與體重計來說,他們發現只是對手機程式進行配對,沒有對資料做保護,因此可將手環或是體重計的通訊內容,傳送到非綁定的行動裝置。換言之,有心人士可將小米體重計得到某個人的重量資訊,同時傳送到多臺裝置中呈現。
相較於上述兩者,應用程式是駭客最常使用的攻擊標的,像Hitcon在2015年舉辦的大會中,就展示駭入Gogoro App並取得憑證,然後將電動機車成功發動。然而這是應用程式在設計上的問題,將憑證存放在手機不夠安全的區域導致。
迎向2017年,物聯網安全是全民都要面對的問題
面臨物聯網裝置層出不窮的資安事件,我們必須有所體認。針對不同的角色,賴婕芳提出以下建議措施:
製造商:開始設計必須將資安納入考量,並且開發者需要有安全開發經驗、訓練,最好產品在上市前滲透測試。
企業用戶:需將物聯網設備盤點並列管,若是無法修補的設備,應考慮隔絕於主要網路之外。此外,防護措施需將整個網路架構納入資安考量。並在採購時,要求廠商確保設備安全性。
終端使用者:了解使用裝置的風險,如果不確定設備的功能,最好就不要使用。使用時,要將預設密碼更換成高度複雜的密碼。
資料來源:http://www.ithome.com.tw/news/112848
為了更有效保護這個網路上的自己,Facebook 繼桌面版之後,終於為iOS 和Android 平台的app 版本加入安全性金鑰登入的支援,提供更強安全度。 有了實體的 ... ... <看更多>
各位大大好我的NOTEBOOK(不是蘋果) 利用別的收機分享上網都能上網,但用到我的I PHONE 就沒法了?顯示要"網路安全性金鑰" 別的手機都不用. ... <看更多>
網路安全性金鑰手機 在 [問題] 手機分享上網熱點給家用電腦但忘記金鑰? 的推薦與評價
我用HTC的手機。
我手機門號(含上網流量)使用中華電信。
家中電腦沒有特別申請固網,而是以中華電信的流量,用手機開熱點分享給
家用電腦上網。
現在的問題是:當初一年前我在家中第一台電腦中設定時,在「無線網路連線」那邊的我
那個手機熱點,加以點選要用它連上網路時,(電腦廠商為了避免任意人士介入)會要
使用者輸入自己設定的「金鑰」。我當時也設定了(但密碼內容,電腦欄位中是以
**********表示)。所以第一台電腦能藉由我的手機分享熱點而連線上網。
現在遇到的問題是,一年後,我自己因為當時沒有抄下來金鑰密碼內容,現在我忘了。
點選「無線網路清單」中原先那個熱點名稱,「金鑰欄位」一連串**********根本無法
有提示作用。
因為第一台電腦用了10年快報廢了,現在我買第二台電腦,需要以同樣的方式藉由該手機
熱點分享而連線上網,我點選新電腦的無線網路清單,有我的手機熱點名稱,但如今欄位
需要輸入金鑰時,我卻已忘了金鑰密碼內容(我亂猜了幾組,都不是,因此無法連線)。
請問我現在該怎麼辦?(問個蠢主意:)打客服問中華電信或HTC(可能沒用吧?)或是
在手機上重新設定(但我在我手機上找不到是否允許「重新」設定金鑰,大概行不通?)
或是我到底該怎麼辦才有解?
ps.不然這個金鑰的問題不解決,則新電腦買來不能上網,只能當打word用的打字機
豈不虧到了?
懇請版上高手們指點解法啊.....
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 124.218.86.100
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1489396335.A.907.html
... <看更多>