✔ 最佳答案
呢個係一個電腦保安既問題,唔係商業既問題。
原理係有關authentication的。
http://en.wikipedia.org/wiki/Authentication
authentication時,有三個可能﹝3 factors of authentication﹞,
1, 你知道的 what you know
2, 你有的 what you have
3, 你是的 what you are
什麼是what you know?? 例如password
什麼是what you are ?? 例如你的手指紋,面貌
什麼是what you have ?? 例如ID card (with no), ATM card.
當要加強保安時,除左在同一方面加強,例如要求使用者用stronge password﹝例如最少8位,有數字+大細英文﹞,亦可以是用多過一個factors。
而HSBC所選擇的,就是後者,用兩個factors -- 你的password﹝what you know﹞及保安編碼器﹝what you have﹞。我估計是因為如果enforce用strong password,所引起的使用者問題會好麻煩。
每個保安編碼器所做的,是用一個獨有“seed”加上時間生成一個隨機no..而有你個個“seed”的保安編碼器只是你有的。個隨機no會一個特殊時間內regen的﹝HSBC個個好似係16 secs.﹞
而server side,可能係要用你個password先可以解碼你個cipher而得出個seed來verify你個隨機no
所以,如果要hack你個account,除左要知你個password,而且個隨機no重要係16secs內估中﹝已經assume任估n次唔會lock account﹞,應該係而家既電腦能力上係唔可能的,所以能夠達到加強保安既目的。