※ [本文轉錄自 MobilePay 看板 #1aGwjxGY ]
作者: docsis (docsis) 看板: MobilePay
標題: [討論] 麥當勞app的支付密碼是不是形同虛設
時間: Sat Apr 22 17:40:09 2023
如題
前幾天下載重新安裝
發現只要用手機號碼和密碼登入
app居然會直接問你要不要開生物辨識
過程中完全不需要收簡訊
或輸入「任何一次」支付密碼進行驗證
(那這支付密碼到底要幹嘛)
你各位儲好儲滿的自己注意一下

消費再儲就好了 多儲會生利息嗎？

所以生物辨識哪裡不對了嗎? 收簡訊印象只有刷卡儲值時有

你應該要試試看開啟生物辨識後需不需要再輸入一次密碼，說不定他順序反啦而且最好找另一個人來測試生物辨識這樣才準

單次簡訊驗證碼還要花錢耶！台麥…

的確，只要啟用「登入密碼」的生物辨識，「交易密碼」不需要再次確認密碼也會直接同步啟動生物辨識，其實就安全性來說不太OK，麥當勞應該就安全性加強一下。同理，剛剛先以密碼登入APP以後，在「交易密碼」選擇開啟指紋辨識，之後登出帳號，一樣不需要輸入「登入密碼」就可以直接以生物辨識登入，這樣很顯然不安全。

可是就算他成功篡奪了你的帳號，沒有付款的密碼還是沒用啊？

對 應該要分開驗證 假設「登入密碼」被盜用，這時他只要開啟指紋辨識等於可以直接無條件突破「交易密碼」的限制，這樣交易密碼等於形同虛設

就台麥便宜行事賭你不會被盜，若被盜是你家的事頂多協助警方提供必要資訊，有儲值的自己要多加留意

原來如此，扯

==

剛跟朋友借帳號登入，真的跟原po說的一樣，登入時自動選開啟生物辨識，然後要支付時刷自己手機的生物辨識就可以打開別人帳號的儲值金支付畫面這坑太大了!以後儲值要小額小額了

換手機登入要驗證碼說錯，不用驗證碼，需要重新登入

喔喔喔 我看懂了 這樣確實不安全

這樣分享出來感覺麥當勞app有很大的漏洞耶@@分析*

這一點的確是可以改進 但網銀好像也都這樣？

樓上 網銀只要重新安裝 都會要求重新登入才能啟用生物辨識

大多數網銀還要綁定設備 不會因為登入密碼被盜就能非約定轉帳

常常切帳號的人都知道啊= =每次切完就問我要不要開生物辨識 選要的話也不會再做驗證

網銀都要簡訊驗證啦 不然早就被金管會幹翻

笑死 之前檔自動簽檔的很勤快結果大包在上面那麼久

這爛app還有個問題就是，若登入手機不小心打錯，如果是沒註冊過的門號，會直接顯示已傳送驗證碼要輸入的頁面，正常不是應該顯示此號碼未註冊詢問是否註冊嗎=_=

呃妳指紋辨識難道都開給家人用嗎，有啥問題

樓上不懂，我拿到你的帳密用我的手機登入，並啟用我的指紋，就能在不知你的支付密碼的情況下用我的指紋支付要馬就是兩個指紋分開紀錄開啟狀態 要碼新裝置第一次一定要輸入過一次支付密碼才能指紋

問題是用我的指紋就可以開啟你的支付條碼用你的錢付款

一堆人還看不懂哪裡有問題…還在那邊辯護