標籤: 資訊安全

為什麼麻布App修改登入機制?

有許多麻粉對於近期調整的登入機制感到困惑,為什麼從此之後開啟麻布App就要過生物辨識?為什麼登入麻布App還要過驗證碼?

對於突如其來的大改動,很抱歉沒有和大家事先做多次的溝通,麻編也非常了解大家覺得使用上變得不便利,所以希望借用大家一點點時間來說明麻布App為什麼要修改登入機制…

為什麼麻布App要修改登入機制?

因為接下來麻布將與銀行合作牽涉高敏感的個人金融資料,主管機關對像麻布這樣的第三方業者,訂定了標準更高的法規要求

而麻布團隊為了能夠與銀行合作個人金融資料,以便提供麻粉們更為完善的帳戶整合服務,必須要因應法規要求的規則做調整。

法規制定了哪些規則?

主管機端制定了資訊安全標準相當於網銀及銀行App的規則,因此麻布App依據法規做了以下四個調整:

1. 「閒置10分鐘自動登出」

參照銀行App設計,閒置麻布App超過10分鐘就會自動登出,但你仍然可使用生物辨識快速登入。如你的手機未支援生物辨識,就只能透過手動輸入帳號及密碼的方式登入了。

此外,麻布團隊未提供圖形解鎖,是因為圖形解鎖為第三方套件(非手機系統原生功能),且其可以產生的密碼組合強度較低,團隊和資安顧問多次討論後,判定其不符合法規要求,因此現階段暫不提供,但團隊仍會繼續尋找其他解法,讓麻粉們能夠在法規限制的框架底下有更為順暢的體驗,請麻粉們再給團隊一點點時間。

2. 「輸入簡訊/Email驗證碼來綁定裝置」

參照銀行App設計,首次登入App需完成裝置綁定。麻布團隊採用「輸入簡訊/Email驗證碼」的方式,當通過驗證碼,即可看到該裝置出現在會員中心的管理登入裝置列表中。完成裝置綁定後,除非之後有刪掉麻布App並重新安裝,往後登入麻布App就不需要再通過驗證碼囉!

3. 「升級麻布App密碼強度」

未來,若你希望在麻布App啟用銀行提供的個人金融資料查詢服務,需要先升級密碼強度才能夠使用。

密碼強度的要求須符合長度至少8碼;至少一個英文字母、不連續、不重複;至少一個數字、不連續、不重複。

4. 「陌生裝置登入或密碼輸入錯誤時,將會Email通知」

參照銀行App設計,陌生裝置登入(過去未存在於管理裝置列表中)或密碼輸入錯誤時,如麻粉有綁定Email,將會收到Email通知以便確保你的帳戶安全,若你確定嘗試登入的裝置不是你本人,只要重設密碼就可以將過去列入管理裝置列表中的裝置踢出。

玉山網路銀行同步IP問題|Moneybook 麻布記帳

為什麼我收到玉山銀行非台灣IP位置登入通知?

Moneybook 透過 Google Cloud Platform (GCP) 雲端系統產生網頁擷取時所需要的 IP 資訊,而 GCP 所提供的 IP 為浮動性質,因此會出現 IP 位置可能為美國等跨國位置標記的可能性。

玉山銀行非台灣IP位置登入通知

Moneybook儲存用戶資訊的位置在哪裡?

Moneybook 採用企業級 Google Cloud Platform (GCP) 雲端儲存服務,並存放於 Virtual Private Cloud (VPC) 虛擬私人雲端,且儲存資料的機房選擇地點為台灣本土彰濱資料中心。
對於資料存取權限,我們設定僅有指定IP可進入,且資料皆經過加密技術轉換後進行存放,因此對於外部可截斷惡意來源盜取資訊,而內部開發人員有權限控管機制,無法任意存取你的重要資訊,且一律需簽署內部保密條款。每次訪問行為均有紀錄,違者跡可循、有法可罰,杜絕資料外洩發生。

我收到銀行的非台灣IP位置登入訊息時可以怎麼做?

1.請確認是否為本人登入

Moneybook 提供用戶每次同步資料時的紀錄,可以在 Moneybook 麻布記帳 APP 內首頁上方 “小鈴鐺” , 點擊後即可進入 “通知中心”,並點選右上角「紀錄」標誌,即可查閱每次從 Moneybook 同步帳戶的時間,並確認銀行端提供的登入提醒Email,即可確認 “是否為你本人登入” 。

2.如果不是我本人登入可以怎麼做?

可以利用 Moneybook 粉專私訊、信箱、問題回報等相關管道聯繫 Moneybook 人員,我們將會有專人同步協助您解決此問題。