要聞

下一篇
上一篇

議員稱OTP形同虛設 籲引入雙重認證

【明報專訊】環聯於本報揭發信貸資料保安漏洞後,曾一度於索取信貸報告過程增設「一次性密碼驗證」(One Time Password, OTP),直至昨傍晚始暫停網上查閱服務。有議員認為即使增加「一次性密碼驗證」亦不足夠,因為系統或未能確定電話號碼是否屬於資料擁有人,認為環聯須加強驗證過程。

私隱專員公署回覆本報指出,2011年公署曾安排透過環聯網站提出要求信貸報告,當時環聯亦有提供「一次性密碼認證」。惟本報記者本月中測試時,發現過程中毋須「一次性密碼驗證」。

民建聯立法會議員葛珮帆認為,環聯關閉系統前增設的「一次性密碼認證」,但接收密碼的手機號碼是自行輸入,變相形同虛設,「如何確定電話號碼持有人,就是資料擁有人?」她批評,環聯處理資訊保安「離譜地兒戲」,建議環聯日後加強身分驗證程序,例如研究使用「生物認證」技術並進行「雙重認證」,政府亦應盡快訂立網絡私隱安全法,監管信貸資料。

相關字詞﹕葛珮帆 密碼 信貸資料庫 環聯

上 / 下一篇新聞