如題我包恩
這幾天在試用MoneyBook的時候
有試著把我三家金融機構 (郵局、台銀、中信) 的網銀都綁進去 並同步很多次
除了Moneybook以外，還有電腦、手機直接登入網銀，
加起來大概有3組IP左右，在相近的時間登入
結果剛剛台灣銀行就打電話問我
昨天有沒有頻繁登入網銀
因為他們報表有跳出來說 有不重複的IP登入
我是覺得還蠻貼心的 也會去偵測登入成功的紀錄有沒有問題
不知道其他家有沒有這種服務

比鼎泰豐難吃的的滿街都是啊鼎泰豐的東西一點都不普通 愛不愛吃就隨個人了

高雄－龍華市場－小籠包店 >>>>>>>>>>>>>>鼎泰豐

那家很難吃耶 龍華的.. 至少上次我去 嗯

哇靠 龍華市場根本沒有小籠包店好嗎lol

這種app不要用 都把你帳號密碼拿去了要整合多銀行資訊 等到OpenAPI第二類開放後再用使用OpenAPI的話 不需要你提供帳密給appOpenAPI架構的身分驗證是OP驗證 也就是各銀行自己驗證app不代替驗證使用者 就類似現在很多的facebook登入app驗證都是facebook自己驗 app拿不到帳密

現在很多網銀交易會有另一組密碼ex 台企銀 合庫，如果網銀帳密不會造成損失ex非約轉 買保險 買基金，也不太在意自己銀行資訊被非銀行人員看到，這類app有其他缺點嗎？我是只怕被更改聯絡號碼 帳單地址 盜辦信用卡 用自家銀行扣繳，其他？？

偷盜你帳密先 之後再用社交工程手法偷你其他資訊啊到時候銀行電話照會 他都可以通過就能改你其他資料了不怕的話 你乾脆現在就公開帳密給大家看囉

除非OpenApi開放使用 不然完全不敢用這種App

看了上面推文 立馬把MineyBook刪掉＋換網銀密碼==

使用者自己也矛盾，怕人家看又給帳密

等API吧

其他銀行也有報表，差別是有沒有認真打給客人而已

我自己是完全不敢使用啦，之前在卡板看到很多人討論，提出來是想多了解相關的風險，也想知道願意使用的人對於這些風險的想法，也謝謝g大的提醒

你用了沒刪哪天收到登入mail可能還會去報警哈哈哈

很多銀行都有相關報表，差異在有些怕打去客戶會罵

記得之前就這類東西，搞得網銀登入變麻煩吧

希望 API 趕緊發展起來

有一種弱點叫CSRF

我不懂為什麼網銀不要用2FA？是技術上有什麼困難嗎

美國很多網銀有 2FA 啊，不過 SMS 的 2FA 不太安全用security key or one time pad 比較安全上面也提到有網銀雖然登入時沒2FA,但執行一些操作時有2FA

國泰世華某些網銀操作就需要2FA，至於登入就需要2FA也有範例，匯豐就是了，但是很多人知道匯豐的下場……

太難登入嗎 XD 不過如果這樣也可以改成選用服務阿...

手機app比不上電腦的一點是電腦的網址列可以得知目前顯示驗證頁面的網站是否真的是原網站而不是釣魚網站,但手機目前因為螢幕尺寸因素,即使連瀏覽器預設都隱藏網址列,所以這類第三方(非銀行出品)的app,仍要提防有釣魚可能,顯示與原銀行一樣的登入頁面來騙取帳密如果銀行端驗證是採取金鑰驗證(如早期的台新,以及目前華銀)或者用另一組專用於第3方驗證的帳密並傳簡訊,會安全很

假鬼假怪，麻布不是絕對安全但是也沒有某些人想像的那麼誇張好不好，真的以為你的網銀帳密就是用明碼存在db上那麼嗎，擔心這個不如擔心你平常其它的使用習慣，未來銀行釋出API還是很多人會怕的要死啦

好奇一問，這些網站跟網銀又沒相關登入API合作，帳號密碼若是存加密編碼過的，能夠送出相關資料去登入嗎？

沒有銀行密碼用明碼存在資料庫的 違反電子資料處理法儲存的密碼基本上都是hash+加密網站若有實施E2EE密碼加密 加密處理是在網頁(瀏覽器)端這些app拿到的是你的密碼明碼 登入時他幫你輸入到銀行網頁 經由網頁加密後送出驗證

我還給了很多家銀行帳密給麻布咧有帳只能看收入出支跟消費,又能怎樣錢還是轉不出去

會怕就快去銀行變更密碼

是想知道我住什麼飯店買什麼東西嗎

他有辦法去變更安控機制不就可以轉了 例如得到你個資打去變更聯絡方式 然後用他的電話接收SMSOTP 不就可轉帳了偷到帳密只是第一步而已你沒有盡到保管責任 到時候出事 銀行可以推責任給你

我沒開電話轉帳是要怎轉,要去櫃台嗎?

網銀轉帳用SMSOTP可以非約轉 只是額度較低另外如果你有多個業務往來 比如信用卡/基金/外匯之類的也有風險 被偷到帳密就是第一道關卡被攻破了風險意識薄弱...偷到你的帳密也不見得他自己要駭你 也可以賣給駭客集團

實務上現階段是做不到透過第三方驗證，MoneyBook的系統架構如何除了內部外沒人會知道，但就我簡單理解，大致是由App在本地以公鑰加密資料後，透過TLS傳輸並儲存在GCP的VPC上，首先傳輸上的疑慮就沒了，再來是MoneyBook持有資料的問題，原則上持有Key或是訪問權限的開發人員誰都可以拿走使用者的資料，然而團隊內部不可能對此不設防，GCP上也有提供相關的功能給企業管理保密資料

網銀轉帳用SMSOTP可以非約轉?我的帳號全都只能用金融卡,是要轉什麼帳?打電話就能更換手機號,這銀行是管控有問題.不是用戶

不少行動網銀app可以SMSOTP約轉. 當你裝了一個釣魚app,根本不用換手機號,只要安裝時被騙,授權了簡訊權限,OTP都可以攔截轉發給駭客,駭客就得到了SMSOTP

如果設定只有金融卡可以轉帳，如果銀行改電話需要本人現場才能更改，風險就比較低之前搬家，有些銀行地址要現場親自更改，有些接受電話更改，也許風險控管也不同

因為客人會投訴說為什麼一定要現場改資料,然後出事再推說為什麼可以不用現場改資料

Google Store上有人問資安問題 他們也有回答～另外有Youtuber說暗網早就有駭客駭到很多帳密了...https://www.youtube.com/watch?v=TMYgE5EoFwo

您們好，我是麻布記帳的麻編，真的很感謝大家對我們的指教，關於資安部分，因為台灣的法規尚未明朗化，所以我們參照各國資安標準做了相當多的努力，我們也知道無論做得多完善，在金管會第二階段帳戶資訊API尚未推出之前，一定還是會有很多人對於把帳密提交給我們感到疑慮所以除了完善資安之外，我們也花了近一年的時間，金管會監管。今年金管會其中一項重點政策在於Open Banking，金管會委託財金公司制定開放API以及銀行與第三方業者串接API的規範，財金公司也在今年七月邀請我們加入開放API的測試以及相關規格的制定，相信很快就會進展到規劃第二階段帳務資訊API，我們會持續的更新與財金公司和銀行合作的狀況給各位，有興趣但有疑慮的人也都可以在完成第二階段API串接後再來使用Moneybook。QQ金管會那段漏字了..近一年來，我們持續努力和主管機關溝通，希望像我們這樣的業者能夠被金管會監管。國外類似的服務發展的相當成熟，像是美國的Mint、日本的Moneyforward，麻布也向他們看齊，無論是在協助政策推動，以及完善用戶許願的功能，我們都會繼續努力，協助推動台灣Open Banking的進展

我從來不用非本行的app太危險了！而且出事銀行可以不用處理的

麻編你要不要直接回一篇就好了..這樣也比較好繼續討論