1.使用PKI機制時因token需與PC相連,且金鑰啟動密碼固定,請教您若在輸入金鑰啟動密碼時,是否有被側錄或被植入木馬的風險?OTP 機制的token作業時,無需與PC相連,且回應的6位數密碼每次不同且有時效性.是否就無被側錄或被植入木馬的風險?

2.OTP 機制的token本身有啟動密碼嗎? 若無,那拾獲者是否利用該OTP token owner 的交易權限,即可將交易核可至下一層或是放行送出至銀行? 若無法提供交易來源可辨識性及不可否認性,OTP機制是否就只能用於認證用途,而無法取代PKI機制除認證外,並可用於交易放行?金管會會要求電子金融交易於交易放行時,一定要使用PKI機制嗎?

3.PKI機制大多採用RSA非對稱性加解密技術,因此有換KEY及憑證展期問題,而OTP機制大多利用AES或3DES 對稱性加解密技術,因此無換KEY及憑證展期問題,user也省去了憑證展期時需支付的費用,若上述無誤,請問OTP機制若無需換KEY及憑證展期,不會有交易風險嗎?

4.PKI機制的token費用較OTP機制的token費用高,且需憑證展期費,似乎OTP機制較具競爭力,請教目前金融保險業的應用是2者取其一或2者並行?
1.使用PKI機制時因token需與PC相連,且金鑰啟動密碼固定,請教您若在輸入金鑰啟動密碼時,是否有被側錄或被植入木馬的風險?OTP 機制的token作業時,無需與PC相連,且回應的6位數密碼每次不同且有時效性.是否就無被側錄或被植入木馬的風險?

A:有關PKI Token的問題，有看過一種攻擊方法是使用者下載安裝了假的驅動程式，導致木馬程式可以呼叫Token進行相關簽章動作，所以目前銀行公會規範即使是硬體載具，也必須在交易送出前，加入插拔機制，以確認是人在進行交易，而非是木馬程式在進行交易。

有關OTP的部份，密碼具有時效性，安全等級雖比PKI機制弱(6位數密碼，暴力攻擊得逞機率為10萬分之1，PKI機率遠小於此)，只是使用者介面較為方便，使用起來較PKI相對容易。

不管木馬的威脅程度如何，客戶端載具的安全性才是安全的關鍵，通常需要連線的Token安全等級要求比較嚴格，例如需通過FIPS 140-1 Level2(或其他同等等級)的認證。

2.OTP 機制的token本身有啟動密碼嗎? 若無,那拾獲者是否利用該OTP token owner 的交易權限,即可將交易核可至下一層或是放行送出至銀行? 若無法提供交易來源可辨識性及不可否認性,OTP機制是否就只能用於認證用途,而無法取代PKI機制除認證外,並可用於交易放行?金管會會要求電子金融交易於交易放行時,一定要使用PKI機制嗎?

A:為了確保OTP Token的安全性，啟用OTP時可以加上密碼機制，加上是為了安全。也可以不加，為了使用者方便。
有關金管會要求的部份，根據金管會中華民國九十七年八月十一日員金管銀（二）第０九七００二七一四七０號函「金融機構辦理電子銀行業務安全控管作業基準」OTP可用來作為登入機制、低風險 (需要保證訊息隱密性、訊息完整性、訊息不可重複) 的網路交易。

3.PKI機制大多採用RSA非對稱性加解密技術,因此有換KEY及憑證展期問題,而OTP機制大多利用AES或3DES 對稱性加解密技術,因此無換KEY及憑證展期問題,user也省去了憑證展期時需支付的費用,若上述無誤,請問OTP機制若無需換KEY及憑證展期,不會有交易風險嗎?

A:OTP的安全強度並不比PKI高，換Key的難度也比較高，所以一般的OTP載具，大多會因為內藏電池電力耗盡(3~5年)而自然更換。

4.PKI機制的token費用較OTP機制的token費用高,且需憑證展期費,似乎OTP機制較具競爭力,請教目前金融保險業的應用是2者取其一或2者並行?

A:我所看到的金融保險業應用模式大多如下：
(1) 企金：交易金額高，PKI, OTP兩者並用，OTP用來登入，或供編審人員使用；PKI供放行人員使用。
(2) 個金：PKI或OTP都有人用，兩者取其一。
(3) 海外網銀：國外大多使用OTP機制。

本文作者為 全景軟體股份有限公司 網路安全事業處 專案二部處長 陳俊良