【 驗證機制產業應用比較分析】
在大略了解Smart Card機制之後,而接下來的文章中,我們將針對市面上的一些認證機制與相關產品做全面性的評比與了解。
儘管每一家業者都致力於提供安全的認證機制,但消費者卻可能不清楚每一個認證機制後面潛藏的問題。
認證機制應用剖析
我們將從目前的網路銀行、網路遊戲與網路購物,這3個主要的數位身分驗證使用產業中,剖析業者所提供的安全機制是否足以符合目前的資訊環境應用,除了說明每一個機制的運作外,也將透過跨產品機制的評比,讓大家能清楚了解目前所使用的認證機制安全性。
綜觀網路銀行、網路遊戲與網路購物這3個產業所提出來的驗證機制,約可分為8大類:
1. 一般的帳密
2. IP鎖
3. 電腦憑證
4.OTP動態密碼鎖
5. 防盜密碼卡
6. 簡訊安全鎖
7. 電話鎖
8. IC晶片卡
1. 一般的帳密
2. IP鎖
3. 電腦憑證
4.OTP動態密碼鎖
5. 防盜密碼卡
6. 簡訊安全鎖
7. 電話鎖
8. IC晶片卡
一般的帳密
多數的認證系統僅採用帳號和密碼來做為身分的驗證,但以目前充斥著惡意程式和病毒的資訊環境下,這似乎不是一個妥當的方式。駭客在寫完後門或是側錄程式後,就可以等著一堆的帳號密碼自動上門。在網路上你隨時可以透過線上交易購買一堆的信用卡和帳號密碼資料,似乎網路的世界已經找不到隱私的那個成分,人人都隨時可能被攤在陽光下,任由駭客宰割,傳統的帳密保護機制已經無法保障使用者。
IP鎖
IP鎖之前普遍被運用在網路遊戲的登入。遊戲玩家必須於登入前,先到網頁上填寫自己登入的IP。每當啟動遊戲時,系統會自行比對目前的電腦IP與當初設定的電腦IP位置是否相同,若IP的資訊相符,方可進入遊戲。如果不幸帳號密碼被盜用,當登入的IP資訊不符時,則無法進行遊戲,可以大幅度增加帳號本身的安全性。但此類的保護方式,當遇到被植入Keylog的狀況時,不僅帳密可能被盜,IP address也必然被盜。此時駭客只要假冒你的IP Address,一樣無法逃過被盜用的問題。
電腦憑證
類似於IP鎖的概念,許多的證券公司和銀行為了確保交易在安全的狀況下進行,也都要求客戶進行網路的交易時,必須先透過程序申請電腦的憑證。每次進行交易時,除了帳號密碼的確認外,會透過電腦憑證做身分的再次確認。此方式較傳統的IP鎖來得較為安全,就算帳密被盜,除非憑證遭到竊取,交易才可能遭到盜用。但這類的認證方式還是有其弱點,一旦交易的電腦中了後門,遭到駭客遠端控制,還是可能遭到破解並完成非法交易。
OTP動態密碼鎖
而OTP動態密碼鎖則被運用的相當廣泛,國內的入口網站Yahoo!於去年宣布在網路拍賣的服務推行動態密碼的帳號安心鎖,將帳號登入認證由傳統的帳密認證,提高為雙因素認證。亦有遊戲業者採用OTP動態密碼供玩家選擇運用,甚至有結合3G手機提供手機OTP的服務。中國銀行推出的動態口令牌、大陸魔獸世界的安全令牌都是屬於這種認證方式,海內外的網路銀行業者,也都紛紛以OTP當做是網路交易的認證機制之一。
