PayPal 香港将由 2022 年 7 月起启用生物认证功能

PayPal 香港将由 2022 年 7 月起启用生物认证功能 PayPal 通过邮件通知用户说： 如果你必须完成生物认证，我们将透过电邮和帐户内的提示通知你。例如当你使用 PayPal 转帐或收款达到指定金额时，可能会触发验证要求。即使你早前已向 PayPal 验证身份，我们仍然鼓励你在收到提示后尽早完成身份验证。当你完成此步骤后，验证流程会在最多 7 天内完成。 在部分情况下，在你完成生物认证前，你的帐户功能或会受到限制，因此请在收到相关提示时完成生物认证，以免帐户功能受影响。若你未有及时验证身份，你的帐户可能会进一步受到限制，你必须先完成验证流程，否则可能暂时无法透过 PayPal 帐户转帐、接收或提取资金。

有用户在多个平台（Hacker News、V2EX、Bilibili）发文表示：

有用户在多个平台（Hacker News、V2EX、Bilibili）发文表示： iOS的HotspotHelper可以让微信和支付宝获取周围WiFi的SSID，进而可以实时定位用户，最重要的是经过苹果认证就行了，无需经过用户授权，而微信和支付宝都经过了苹果认证。但安卓应用获取WiFi热点的SSID需要用户授予位置信息权限。 相关来源： By:匿名投稿

AlipayHK 将于11月1日起关闭护照认证，现有护照认证用户(非HKID持有人)需绑定同名香港银行帐户，否则将于2022年4

AlipayHK 将于11月1日起关闭护照认证，现有护照认证用户(非HKID持有人)需绑定同名香港银行帐户，否则将于2022年4月降级为“未认证” #AlipayHK 10/21更新：AlipayHK绑定仅支持护照开户的香港银行帐户，如果绑定提示证件不符合，建议联系银行修改绑定账户的主证件 • 2021年10月31日前仍可以使用港澳居民来往内地通行证(回乡证)/护照进行认证 • • 2022年1月起，尚末完成认证、连结银行账号或连结信用卡，跨境消费与转账功能将会收到限制 • 2022年4月起，尚末完成身份证扫描和自拍认证的中级或高级认证用户，将被降级为「未认证」 • 非香港身份证持有人的中级或高级认证现有用户可选择连结一个同名的银行账户，以保持中级认证等级 目前护照帐户绑定成功的有： • HSBC HK • 大陆护照BOCHK、ICBCA无法绑定 • 未认证AlipayHK也可以通过FPS in增值 点评：由于大陆用户开的香港帐户基本上是绑定大陆身份证/通行证，和AlipayHK绑定的护照帐户证件不一样，就无法绑定 相关： 相关： @DocOfCard /

是时候重新考虑身份和身份认证了

是时候重新考虑身份和身份认证了 传统的身份和认证系统不具备处理现代需求的能力。零信任的安全性、合规性、隐私性和访问的便利性都需要一种新的方法：无摩擦、基于身份的认证。 身份是当今最值钱的数字货币。一旦得到验证，它就能让你获得几乎所有的东西。历史上，身份是由出生证明、政府颁发的身份证和密码来验证的，最近则是由移动设备和生物识别技术来验证。 在网络犯罪分子的不断攻击下，我们看到如何定义身份和确保适当的认证的转变。传统的安全方法假定登录的人就是他们所说的人，但现代安全标准（如NIST 800-63-3和FIDO2）必须关注身份证明，并摆脱传统的密码。 这种安全方面的转变也必须包括用户的需求。由于需要记住多个账户和密码，安全问题是一个繁琐的过程，它仍然使用户面临很大的凭证泄露的风险。 以下是当今可能需要以不同方式思考身份和认证问题的四种方式。 1、身份和认证应合并在一起 通常情况下，安全问题集中在身份证明或无密码解决方案上。在实施两个可能不兼容但又必要的系统时，这种分离会给组织和客户带来摩擦。 保持身份信息和认证方式的分离有两个主要问题，特别是在处理员工和客户的时候。首先，对你的用户来说，认证永远不会是 “无摩擦” 的。他们将与多个密码和用户名打交道，这是一个漏洞。其次，如果你的员工因为个人原因以客户身份使用你的平台（想想看：银行员工也在你这里有账户吧），而你无法证明这是同一个人，只能证明这个人有正确的客户凭证。 我们现在不再需要用户名和密码来认证个人。生物识别技术、移动设备和多因素认证是强有力的工具。在开始时将这些方法与明确的身份证明结合起来，可以减少用户的摩擦，提高整体安全性。 2、用户必须能控制自己的身份 每当个人泄露了身份信息，他们就会面临风险。因此，用户希望对谁、什么、何时提供这些信息有更多的控制。今天，有几种方法可以将认证权交还给用户： 智能手机验证生物识别数据 提供一次性密码（OTP）的应用程序和设备 在计算机和移动设备中使用可信平台模块（TPM）芯片来存储加密密钥和其他数据 使用区块链来存储可识别信息 需要用户同意才能提供验证详细信息 鉴于这些选择，用户对身份和认证的控制必须是一项要求。 3、认证应与风险相对应 尽管上面列出的技术很有前途，但大多数企业并没有利用它们。相反，他们继续投资于陈旧的认证形式，与日益复杂的风险不相适应。虽然双因素认证有帮助，但这并不是一个一刀切的解决方案。每个用户都有不同程度的风险，他们的认证也必须相应地匹配。 认证应该支持多种方法，但它可以包括企业账户验证、电子邮件地址访问和生物识别技术 除了前面提到的SMS和OTP之外。 企业不需要实施所有可用的因素，但应根据其组织和用户的风险，针对性确定其用途。考虑到用户希望控制自己的身份，以保持积极的体验，同样重要的是要意识到需要潜在地允许他们自己决定何时采用较新的认证方法。 4、可管理的实施 过渡到新的解决方案是一个微妙的过程。在没有确定你的企业的复杂需求或没有让你的员工和客户做好准备的情况下，过快地行动是很可能失败的。首先专注于如何最好地整合身份和认证，然后从那里开始建立。 身份的概念已经存在了几十年，然而认证却没有赶上其先进的威胁 直到现在。现在是时候了，不要再寄希望于传统的系统，而要接受新的认证和存储信息的手段。这将创造更好的认证效率、用户体验和组织安全性。

香港各电子钱包正收紧实名认证要求

香港各电子钱包正收紧实名认证要求 #SVF #实名认证 5/6更新： 金管局副总裁李达志，计划将对银行的监管要求推展至电子钱包，目前各SVF（储值支付工具, Stored Value Facilities）正按要求收紧账户实名认证要求，新要求HKID生物身份认证 2020年9月修订(2021年7月2日生效)的法定指引【】 …可重复储值的网络形式储值支付工具包括提供「网上帐户」的互联网支付平台，让使用者可储存货币价值，用作网上购物付款或人对人资金转拨… …修订指引生效日期之前已建立业务关系的可重复储值的网络形式储值支付工具的客户而言，若有关储值支付工具持牌人已收集客户的身分识别资料…完成第1.4.19段所指明的措施，并继续向该等客户提供现有功能… (a) 取得客户的身分证明文件副本；及 (b) 要求客户从其于持牌银行的户口转帐至其储值支付工具帐户，而储值支付工具持牌人能确认有关银行户口持有人姓名与其客户的姓名相符。 ▎八达通银包: • 新用户仅HKID， ▎Tap&Go: 2024年4月8日起， • 新用户仅HKID，现有用户需要在6月1日之前完成一次同名银行账户转账才能维持认证，否则降级未认证 ▎AlipayHK：(同证件同名银行转账维持认证) • 新用户仅HKID， ▎WeChat Pay HK：(同名银行转账维持认证) •，现有用户暂无通知要求6月30日前完成HKID或转账认证 ▎PayPal HK：即将要求HKID @DocOfCard /

在EPIC数据泄露事件之后 - 三星迫使用户接受条款和条件，否则他们的数据将面临风险。

在EPIC数据泄露事件之后 - 三星迫使用户接受条款和条件，否则他们的数据将面临风险。 在韩国科技公司三星最近发生一连串数据泄露事件之后，试图采取合理的预防措施的用户不得不被迫接受该公司更新的条款和条件。 迄今为止，三星在2022年已经遭遇了两次数据泄露事件。第一次是由臭名昭著的 Lapsus$ 集团策划的，从该公司流出190GB的数据，其中包括所有生物识别解锁操作的算法、较新的三星产品的引导程序的源代码、以及授权和认证三星账户过程背后的所有源代码。 第二起泄露事件直接影响到用户，三星隐瞒了一个月才通知用户：大量的个人身份信息现在在犯罪分子手中。 虽然三星公司低调的新闻稿向客户保证“没有必要恐慌”，但谨慎的用户 也许对三星公司如此麻木而感到震惊的用户 立即登录他们自己的三星账户，以修改密码。 许多用户在购买手机时创建了一个三星账户，然后立即忘记了这码事。有些人阅读了服务条款和条件，而更多人则没有。您应该始终阅读条款和条件，任何时候。 如果您在2021年9月之前创建了账户，当这些条款发生变化时，三星并没有义务通知您 除非您试图登录自己的在线账户。 三星的条款和条件最后一次更新是在2021年9月30日，这一变化基本上没有被人们注意到。 虽然在技术上可以在不登录和不接受更新的条款和条件的情况下请求重置密码，但是您确实需要接受这些条款，才能访问您的三星账户的其他安全功能。 #DataBreach #Privacy #Samsung