我沒有用richart，有點難想像richart轉帳不需要OTP。
可否請問richart可以用OTP綁定特定手機，
之後在綁定的手機上進行非約轉都不需要再用OTP驗證一次?
如果真的是這樣，這個情況有點有趣，這個機制不能說違反安控基準，但安全性相對較低吧。
如果"每一次"非約轉都必須要做一次OTP驗證，加上非約轉的單筆/每日限額，
要騙到幾十萬，對END USER來說，是滿誇張的 (一直操作OTP都不會覺得奇怪?)
但若只要騙到一次OTP進行裝置綁定，門檻就降低很多，畢竟網站做的跟真的一樣，
一般民眾根本不會去看domain name，也看不懂domain name的差異。
好多年前銀行公會有要求各銀行要去"管理"有沒有冒名自己的釣魚網站，
站在銀行的角度，我是覺得很扯，到底要怎樣才能去主動發現釣魚網站。
可是如果是銀行自己把安全機制設計的比較差，難道完全沒有責任，都是民眾的責任嗎?
符合安控基準應該只是電子銀行的最低標準，而非最高標準吧
※ 引述《ripple0129 (perry tsai)》之銘言：
: 整個流程是這樣
: 受害者到釣魚網站輸入帳密
: 釣魚網站馬上到真實銀行輸入帳密
: 這時候就會發OTP簡訊到受害者手機
: 受害者在釣魚網站輸入OTP
: 釣魚網站等同也拿到OTP能登入了
: 整個最大的問題是
: 為什麼每一筆轉帳沒有OTP
: 這是Richard的問題了
: 基本上我使用的銀行
: 每次轉帳都是需要再輸入OTP的
: 不過要Richard賠有點難

兆豐也沒OTP...

符合安控其實是很高的標準了，只是一般民眾的一點小錢只算低風險，寧可方便就好

User責任在單筆轉帳五萬，畢竟帳號密碼一次OTP都給出去了，但是暴衝到四十萬這三十五萬差距是驗證機制設計瑕疵，台新要付很大的責任，現在上新聞這五萬是不是也凹台新吞了xd而且還攻破轉帳限額單月二十萬，只因為限額by 帳戶不是by UserId xddd還好不是再跨月攻擊，不然可以爆衝到八十萬

其實滿多沒 OTP 的，合庫也沒 OTP...

手機綁定加生物辨識就不用otp啦

生物辨識間接驗證無法綁定手機，要過一次電信通路目前好的解法就是走 mobile id 或 aotp走 PKI 或 FIDO 也是一樣問題

FIDO UAF還是fishable, 要FIDO U2F或FIDO2才是射進來阻止釣魚網站攻擊...設計來....orz