受到证券商屡发生骇客搜集到大量账号及密码用于撞库攻击及伪冒下单等资安事件,证交所建议券商应采行双因子验证来确认客户身份,但由于部分证券商系统来不及完成修改,证交所规定无法在一月底前完成修改的证券商,应要求投资人在 1 月 24 日前更新密码,并采用优质密码原则。
证交所表示,迩来证券商屡发生骇客搜集到大量账号及密码用于撞库攻击及伪冒下单等资安事件,影响投资人个资安全及权益,因此要求证券商在投资人登入及电子凭证下载时,应采行装置绑定、生物辨识及 OTP 等双因子验证来确认客户身份。
证交所指出,由于系统修改调整需要时间,没完成修改的证券商可能成为骇客攻击的目标,针对无法在一月底前完成修改的证券商,为确保投资人账户的交易安全,就应要求投资人在 1 月 24 日前更新密码,并采用优质密码原则。
证券商会引导客户在证券商网页或下单系统登入时修改密码,投资人没有完成修改动作就不能登入网络下单系统看盘及下单,需要改用电话、语音下单或其他委托管道。如果忘记密码可电话洽询证券商客服或营业员,经核对资料确认为本人后,引导变更密码后就可以进行网络下单交易。
不仅是密码,电子凭证更是委托下单重要的证明,为了安全,有效期限只有一年,每年都得更新,投资人更要注意保管使用。为此,投资人在电子凭证下载时,证券商也应该采行双因子验证,尚未完成凭证下载双因子验证系统修改的证券商,都应该改以人工确认为投资人本人下载凭证。
网络已经是国人日常生活一部分,证交所提醒投资人,金融账号及密码要妥善保管,尤其在银行、证券、社交平台、电子商务、网络购物、投资社群等不同网站平台,不可使用相同之账号及密码,因骇客在网络上搜集取得大量账号密码后,就可以用已知的账号密码登入不同网站进行撞库攻击。
证交所强调,长期没有变更密码的账户,骇客掌握的密码可用度高,撞库攻击及伪冒下单的成功概率就高,因此建议投资人定期更改密码,并采用优质密码并妥善保管,为避免账户被骇客攻击,维护自身权益最好的做法。
(首图来源:shutterstock)
