网络钓鱼的烦恼：实体银行密码器回归并非万全之策

[新加坡] 实体银行密码器（physical banking token）正卷土重来。

新加坡金融管理局（MAS）正与各银行合作，开发一种线上快速身份验证（Fast IDentity Online, Fido）硬件密码器。客户在进行大额网上银行转账时，必须将该设备连接到自己的终端进行授权——这将是全球首个在全国范围内推广的此类应用。

实体密码器的回归让人回想起21世纪初口袋鼓鼓囊囊的日子，当时本地银行也曾发行过类似带有数字键盘的设备，用于生成一次性密码（one-time passwords, OTPs），为在线访问提供额外保护。

在那时，拥有多家银行账户的客户需要随身携带多个密码器，直到2017年，银行业转向使用嵌入在手机银行应用中的数字密码器。

新加坡这是在数字化的道路上开倒车吗？

新加坡金管局常常暗示会增加一些操作上的“摩擦”（friction）来管理公众的期望。就在2025年8月，《海峡时报》还援引该局的说法：“尽管银行将尽最大努力减少不便，并给予客户时间适应新措施，但在持续打击诈骗的斗争中，我们有必要将安全置于便利之上。”

这种说法固然难以反驳，但即将推出的这款密码器存在两个潜在问题。

其一，注册过程并不容易，特别是对那些不熟悉科技的人而言。

其二，即使注册成功，除非所有网站都支持这项技术，否则它也无法提供万无一失的防诈骗保障。

SEE ALSO

MAS to encourage livelier capital markets for alternative risk financing, strengthening Singapore’s insurance hub status

Scams, exclusion: Piyush Gupta on risks of digital finance

深受网络钓鱼之害

这并非要轻视问题的严重性。新加坡的富裕和高互联网普及率使其成为跨国犯罪集团的有利可图的目标。

更严重的是，网络钓鱼诈骗正以惊人的速度增长。2023年上半年，此类诈骗造成的损失为730万新元。到2024年上半年，这一数字飙升至1300万新元。而2025年上半年，因网络钓鱼诈骗造成的损失已高达3000万新元。

由于担心网络钓鱼会削弱公众对新加坡数字银行系统的信心，金管局在过去几年里已与各银行合作加强安全措施。

现在，客户可以通过“紧急停用开关”（kill switch）在怀疑账户被盗时冻结所有银行账户。银行还引入了至少12小时的延迟机制，才能在移动设备上激活新的软件密码器（soft token）。

一项“资金锁定”（money-lock）功能允许客户锁定特定金额，使其无法进行在线转账。客户只有亲临银行分行或在自动取款机上才能提取被锁定的资金。

银行应用程序也已升级，当侦测到用户手机上存在风险活动时，会限制客户访问网上银行。此举旨在打击恶意软件诈骗，即诱骗人们下载恶意应用，从而让黑客控制其手机。黑客随后会窃取受害者的凭证，清空其银行账户。

这些措施是在2021年和2022年发生一系列针对OCBC客户的网络钓鱼诈骗、造成约1370万新元损失之后出台的。

Fido势在必行

Fido密码器是银行用来对抗网络钓鱼的最新武器。

Fido行业标准旨在帮助在线服务在没有密码的情况下验证用户身份，从而使在线访问能够抵御网络钓鱼。

Fido验证涉及使用一对匹配的加密密钥来解锁用户的在线账户。一把密钥由用户保管，另一把则由在线服务提供商——如银行、社交媒体或电子商务平台——保管。每一对用户与服务提供商的密钥都是独一无二的。

用户的密钥存储在Fido密码器中。当发起交易的笔记本电脑或智能手机连接到该密码器时，用户无需输入任何密码或一次性密码即可完成交易验证。

密码的保护作用很弱。用户可能被社会工程学手段诱骗，通过短信分享密码和一次性密码，或在黑客操作的虚假银行网站上输入这些信息。利用窃取的密码，黑客可以轻易访问受害者的银行账户盗取资金。

有了Fido安全保护，攻击者需要窃取受害者的实体密码器才能验证欺诈性交易，而这并非易事。

另一个优点是：每个密码器可以存储多对密钥，用于访问包括银行和非银行在内的多种服务。这意味着用户无需携带多个密码器。

在过去十年中，随着Facebook、Amazon、Apple iCloud、Google和Microsoft等公司加强支持，精通技术的用户已开始使用网上广泛销售的Fido密码器来保护其在线账户。

它可能成为保障每个人数字生活方式的一把万能钥匙。此外，人们终于可以告别那些容易被钓鱼窃取的繁琐密码了。

但这一理想愿景的实现，取决于一个由银行、在线商家和网站运营商组成的完整生态系统都支持Fido验证。

如果没有这个生态系统，当用户在虚假的电子商务网站上输入信用卡信息时，他们仍然会成为网络钓鱼诈骗的受害者。由于大多数商家尚未采用Fido验证，因此没有可靠的方法来辨别虚假商家。

基于银行卡的欺诈已是一个大问题。警方表示，2025年上半年的网络钓鱼诈骗主要涉及受害者向诈骗者提交其银行卡详细信息和验证码，以完成看似合法的购买。这个问题依然存在。

“摩擦”来了

另一个难题是：Fido验证在初期需要用户经历一番繁琐的步骤。

首先，用户需要通过一个注册流程来登记他们的密码器，而这个流程因服务提供商而异。

作为该标准最大的支持者之一，Microsoft网站提供的说明与其他地方充斥的“计算机术语”相比最为简化。即便如此，整个过程至少有13个步骤，足以让大多数用户望而却步。

新加坡金管局和银行尚未透露用户如何注册即将发行的密码器。如果科技供应商的网站能提供任何线索，那这将是一个需要技术支持的、障碍重重的过程。

其次，密码器制造商对于更改默认个人识别码（PIN）和存储指纹有另外一套单独的说明。

像Google、Yubico、Thales和Feitian Technologies这样的硬件制造商，要求用户在智能手机上下载特定应用，然后将手机与密码器进行无线连接，以重置PIN码和注册指纹。

用户也可以将密码器插入电脑，使用Windows设置来重置PIN码和注册指纹。

同样，这个过程对于没有经验的人来说可能并不容易。

第三，由谁来承担费用尚不清楚。

一款基础版的Yubico Security Key C NFC设备，配备了最常见的近场通信（near-field communication）无线标准和USB-C接口，在Amazon上的售价为29美元。如果增加指纹识别器，价格可能高达90美元。

第四，还有一个恢复流程，需要在每个服务提供商的网站上停用丢失或被盗的密码器。这与报告和注销丢失的银行卡以防滥用类似，但丢失密码器更麻烦，具体取决于它所验证的服务数量。

第五，许多供应商还建议用户设置一个备用密码器，以防主密码器丢失时扰乱其数字生活。这意味着成本翻倍。

第六，如果客户遇到硬件或验证问题，可以向谁求助？是否有统一的服务台？

最后，银行可能需要为其数百万客户设立技术支持前台，处理从如何设置或使用密码器，到停用丢失的密码器和恢复在线访问等各种问题。

这是否意味着客户在银行分行或通过热线电话办理其他银行业务时，需要等待更长的时间？

鉴于这些挑战，难怪没有一家银行向所有客户全面推广Fido密码器。

Bank of America为精通技术的客户提供了使用Fido密码器保护其账户的选项，但该银行并不发行这些密码器。

2022年，Citi试行了Fido验证，通过在移动设备上使用生物识别或二维码来访问银行账户。但该试点项目仅针对商业客户。

Fido验证的最大支持者包括Google和Microsoft，它们的帮助台都由内部管理。这些公司已不再要求员工使用密码登录所有系统，而是改用Fido密码器，以更好地保护他们免受网络钓鱼攻击。

从许多方面来看，新加坡的全国性推广计划将使其进入一个未知领域。目前尚不清楚新的Fido密码器是仅用于取代银行的一次性密码，还是旨在取代所有密码。

如果这种密码器能让消费者摆脱管理密码的烦恼，他们可能会更容易接受。一个无密码的未来是衡量新加坡数字进步的一个可靠指标。

此外，还需要进行大量的说服工作，让整个由服务提供商和商家（而不仅仅是银行）组成的生态系统都支持Fido验证，才能彻底杜绝网络钓鱼诈骗。

在此之前，许多人可能对实体密码器的回归感到不满。 《海峡时报》