海外SingPass用户今年底 料能以手机应用软件接收密码

字体大小:

李蕙心 报道

hueyshin@sph.com.sg

旅居国外的电子政府密码SingPass用户,有望在今年底使用新的密码生成器手机应用软件接收密码。届时,他们无须通过本地手机号码接收密码短信,或等待密码生成器寄到国外住址,就能以双重认证的方式登录政府网站。

SingPass双重认证机制7月5日全面启动,到时所有330万名SingPass用户上政府网站如公积金网站查看个人资料时,都须输入两道密码。一道是自己设置的固定密码,另一道是一次性密码。

目前只有拥有本地手机号码的SingPass用户能接收密码短信,否则必须利用外形如小型计算机的密码生成器得到一次性密码。这对长期旅居海外的用户非常不方便。

双重认证服务由隶属于资讯通信发展管理局的保信方案有限公司(Assurity Trusted Solutions)提供。公司总裁范雨顺受询时说,随着智能手机普及化,公司已着手开发能提供密码的手机应用软件,给用户多一项接收密码的选择。

这种密码生成器软件就如硬件一样,都使用时间同步机制(clocking synchronisation mechanism)在密码生成器与公司电脑伺服器之间进行协调。

范雨顺说:“这种软件的安全性,比利用手机短信接收一次性密码更高,无须担心电信网络信号不强,而延迟或收不到密码。”

新的应用软件将提供给保信方案的所有客户,包括负责SingPass系统的资信局和证券公司。资信局正与保信方案商谈采用这个手机应用软件的事宜。

用户无须注册电话线,也可使用密码生成器软件,但有些密码生成器软件须接上移动网络或WiFi无线网络才能收到密码。关于这点,保信公司表示,由于软件仍在研发中,还不确定是否需要连接上网。

网络安全公司FireEye东南亚区总监邬美芳说:“手机短信可以转发,或被黑客拦截,用户也可能被黑客诱导而透露密码,手机应用软件在这方面的问题较小。”

她也说,在网络安全业者来看,手机应用软件更加安全,但如果软件编码出现疏漏,被黑客发现并加以利用,还是有可能被攻破。

网络安全公司趋势科技(Trend Micro)新加坡区经理佘仰明指出,若手机芯卡或密码生成器软件的数据被盗,或者手机被植入恶意软件,或手机没电时,都会为用户带来不便。恶意软件还可能取得软件提供的一次性密码,因此他还是建议使用密码生成器硬件。

长年住在香港的李志道(44岁,工程师)向本报反映,他已停用本地手机号码多年,并已把身份证上的住址改为国外住址。他无法收到密码短信,若选用密码生成器须支付35元的邮费。

他觉得使用密码生成器软件能解决这个问题,却因为其安全性不如硬件而有些担心。“万一手机被恶意软件入侵就糟了,我还是比较喜欢用硬件。”

LIKE我们的官方脸书网页以获取更多新信息