You are currently at: ejtech.hkej.com
Skip This Ads
Don't Miss

專家倡用Passkeys|提升網安防入侵 掃面指紋認證 綁定用戶設備

By on July 6, 2026

原文刊於信報財經新聞「CEO AI⎹ EJ Tech

不少港人喜歡搭飛機旅遊,試想像身在異地時突然發現,海外證券賬戶被入侵,一小時內沽清手上持股,再購入即日清倉的「末日期權」,戶口結餘幾近清零。這並非科幻電影情節,而是真實上演的黑客攻擊。NyxLab聯合創辦人兼行政總裁顏國定,近日跟進苦主楊女士的個案,直言今天的網安標準、雙重驗證(2FA)已不足夠,必須升級至「通行密鑰」(Passkeys)

海外證券戶口遭駭 苦主失900萬

Passkeys設計,是讓用戶的設備創建及持有數碼鑰匙,私鑰(Private Key)安全地儲存在裝置上,公鑰(Public Key)傳送給網站或服務端儲存,就如網絡世界的身份證。蘋果公司(Apple)谷歌(Google)等大型科企,旗下全面整合Passkeys技術,配合掃描二維碼、掃臉或指紋認證個人身份,作為服務預設或主要登入方式。由於生物特徵辨識資料,不會離開用戶的個人裝置,即使入侵者盜去數碼鑰匙,沒有當事人指紋臉孔,也無法冒充身份打開大門。

網絡安全專家顏國定提醒,用戶常用的電子郵箱風險較高,務必綁定Passkeys,以免密碼洩露遭入侵。(黃勁璋攝)

本港資深網安專家顏國定,由羅兵咸永道(PwC)前合夥人轉型創業,專注結合人工智能(AI)與實戰經驗,服務上市公司、政府部門及企業客戶。他接受本報專訪時透露,今次楊女士被騙走約900萬港元,相當於她半生積蓄,「普通人一定會被Phishing(網絡釣魚),因為(虛假網站)做得很真實,很容易上當。」

顏國定續稱,「Internet(互聯網)就係跨境,其實你做得網銀或網上交易,你就預咗監測係跨境。」他指出,金融機構理應設計一個系統,無論80歲的老人家,抑或AI高手也能安全使用,切勿把網安責任推卸至客戶。

他直言:「你唔Prevent(預防),你咪Protect(保護)囉!」正如「打開門做生意」,最重要是保護其客戶。重新驗證是方法之一,例如當用戶已經登入,但工作階段(Sessions)已過期,或即將執行敏感作業(例如新增運送地址或購買交易),這時需要額外的驗證。

採公開金鑰密碼編譯技術

對於今次涉事的海外證券公司,顏國定批評其有疏忽,未有實施足夠的防網釣認證,主要有三大明顯缺失。第一是沒有做Passkeys;第二是監測不足(未偵測異常使用者代理、IP位址等);第三是沒主動移除虛假網站,若透過國際域名機制,最快兩小時就能處理。顏國定表示,將協助受害者繼續向證監會(SFC)、警方跟進案件。

總體而言,Passkeys仍是數碼身份的核心,採用公開金鑰密碼編譯技術,先在裝置端安全加密再同步,將來配合「後量子密碼學」(PQC)升級。同時,用戶常用的主要電子郵箱,不但包含私人資訊,也可用來恢復賬戶。顏國定最後提醒,常用郵箱風險較高,必須綁定Passkeys,萬一遭入侵後果嚴重。

許多大型科企經已支援Passkeys,例如谷歌讓用戶以指紋認證登入賬戶。(網上圖片)

採訪、撰文:邱敏聰

相關文章:

支持EJ Tech

如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們