一次性密碼網路安全無虞
2008-01-04 *人氣 304*
園區生活 Vol.117 2007 12月號
一次性密碼網路安全無虞
用完即失效的一次性密碼,可有效解決密碼被盜的問題,確保網路交易與企業內部網路的安全
撰文黃鈞銘 / 攝影朱錦權
隨著電子商務及網路服務的蓬勃發展,網路銀行的帳戶被盜轉帳或者線上遊戲的寶物被偷盜時有所聞,主要原因是傳統登入網站的做法是以固定的使用者帳號/密碼(username/password)來做身分驗證,可是隨著駭客、木馬程式、鍵盤側錄(keylogger)或後門程式技術的進步,單純利用使用者名稱/密碼已經不再安全了,輕則造成個人損失,大則可能讓公司機密資料外洩,造成更大損失。
根據調查,企業在資訊系統上所受到的攻擊,已經有50%是來自於內部員工的攻擊,此外,駭客也可能入侵企業內部電腦,進一步竊取資料。因此現在不只是B2C或B2B之類的網路服務重視使用者身份驗證,就連企業內部系統登入或是電腦本身的權限控管等,都有使用者身份驗證的需求,例如業務人員在外面可能會透過個人虛擬網路(VPN)連回公司收發信件,就連員工平常在公司內部收發電子郵件、登入公司內部網站等,都開始需要通過使用者身份驗證。
這些資訊安全事件都讓使用者身份識別驗證(IdentityAuthentication)的問題逐漸受到重視。為了防止這些入侵情況的發生,並加強使用者身份驗證的安全性,目前已經有業者採用一次性密碼(One-TimePassword,OTP)的身分驗證方式。
一次性密碼雖安全但仍不便
全景軟體公司網路事業處協理楊文和指出,一次性密碼技術發展已經十幾年,使用者的密碼只限使用一次,過後即失效,下次使用時,必須再隨機產生另一組新的密碼。
因此就算被駭客竊走這次傳送的密碼資料,他人也無法用原來的密碼來偽裝使用者的身份。在系統或網站加入一次性密碼功能後,當使用者要登入系統時,必須將一次性密碼跟使用者帳號/密碼一起輸入,利用這些資料來驗證使用者身份。
不過直到現在,使用者還必須依賴一種特殊的器材來產生一次性密碼,使用這種器材的用戶大都是從事業務的特定人員,由於使用者經常忘了隨身攜帶密碼產生器,每當要用到密碼時,往往不得其門而入,而且要登錄不同的網站時,也必須使用不同的密碼產生器,使用者必須經常隨身攜帶好幾個密碼產生器,極為不便。
而且售價超過一千元的密碼產生器,更無法普及到一般大般,加上為了安全顧慮,密碼產生器的電池一旦用完,無法更換電池,必須重新購置新品,會增加用戶負擔。也會有公司為每位業務人員配置一個密碼產生器,以方便業務人員登入公司內部網站,但員工經常遺失密碼產生器而影響工作,以致於又停用。
使用手機產生密碼更便利
楊文和說,由於行動電話與PDA的運算功能愈來愈強,最近全景軟體公司首先成功研發出可以從手機上產生一次性密碼的軟體,當手機安裝這個軟體後,只要先向網路服務業者申請註冊,就可以讓手機與業者主機的密碼產生器同步運作,而且業者的主機與用戶端的密碼軟體不需要隨時保持連線,就能讓主機辨識使用者一次性密碼的真偽,不需要再隨身攜帶密碼產生器。
要用手機產生一次性密碼時,只要從手機中叫出這個應用程式,然後按下密碼產生鍵,就會自動產生一組密碼,用戶再將這組密碼輸入到網路服務業者的網頁中,以進行身分驗證,如果用戶想進入不同的網路服務業者的網的,必須下載不同的密碼軟體到手機上,只用一支手機就可以產生不同的密碼,方便讓用戶登入不同的網路服務。
一次性軟體須能支援多款手機
楊文和分析指出,全景軟體公司一次性密碼軟體的核心技術與以往開發的數位憑證加密軟體是類似的,兩者都需要複雜的密碼演算法與加解密的技術,只是用在手機時必須大幅簡化使用者介面,以方使用戶使用為主,整個軟體開發的時間約一年,但是在簡化人機介面上必須不斷參考客戶的意見來改善,因此投入的時間最多。
以往全景軟體公司推出的數位憑證在國內已經有不少證勢與銀行使用,因此在開發一次性密碼軟體時,便是從這些客戶中了解不同行業對這種軟體的要求。例如證券業對一次性密碼軟體的主要考慮因素是成本,因為密碼產生軟體或主機都必須由券商負擔,而銀行業則強調須符合金融監理單位對網路交易安全機制的要求,此外線上遊戲產業則希望採用晶片卡的密碼產生器,以便可以在卡片上宣傳遊戲軟體。
楊文和提到開發軟體所遇到的困難在於手機種類太多,而且內部系統各不相同,如何讓一次性密碼軟體在許多不同類型的手機都能正常方便使用,是開發密碼軟體時最困難之處。
因此必須不斷利用不同手機去進行測試,還要與手機應用軟體開發商搭配進行測試,此外手機螢幕解析度差異很大,螢幕解析度高的手機,字體都很小,這個軟體也必須依據手機螢幕的解析度來調整密碼數字的大小,以方便用戶讀取。
除了讓使用者方便操作外,一次性密碼的安全性也很重要,不能有漏洞而被輕易破解,一次性密碼產生五分鐘後便自動失效,萬一密碼被盜取時,別人還是無法使用相同密碼登入系統。
同時用戶還可以在手機上自行設定保護軟體的個人識別碼(PIN),萬一手機遺失,別人也無法使用密碼軟體,而且每個軟體都只能搭配一支手機使用,無法將軟體拷貝到其他手機上。
一次性密碼須支付軟體授權費
由於應用固定密碼系統的種類非常多,為了要取代現行固定式密碼輸入方式,全景軟體的技術人員必須與原來應用系統的開發商密切配合,好讓每個應用系統都可以順利的改換成一次性密碼系統。
如果將一次性密碼服務導入電子郵件與WINDOWS等套裝軟體系統,大約需要一周來進行整合,而企業特殊應用的系統,大約需要一個月的整合時間。
楊文和說,網路服務業者如果要導入一次性密碼服務,除了必須負擔頭端伺服器的費用,還必須依照系統使用人數支付軟體授權費,以五十個會員使用的頭端伺服器為例,永久的軟體授權費用大約在20萬,視不同的設備而定,而使用密碼軟體的用戶則不需負擔任何費用。
除了將軟體內建在手機上,也可以將密碼軟體灌入到隨身碟,再從電腦上產生一次性密碼。目前國外甚至已經有業者將密碼軟體與金融卡整合在一起,用戶可以用金融卡到提款機進行交易,如果要用網路銀行進行交易時,可以按下金融卡上的密碼產生鍵,而自動產生一組密碼,作為登入網路銀行的身分憑證,目前全景軟體公司也正與廠商合作開發中,預計明年年中可完成。
企業網路大門最好的守門員
最近日本電信旗下的數據服務公司(NTT DATA)也開始導入一次性密碼手機服務,讓用戶可以直接從手機上透過網路銀行進行個人金融交易。目前全景軟體公司將先針對金融與遊戲業者去推廣,不過一次性密碼也是企業網路大門最好的守門員,有些企業為了優先保護主管的資料,而開始導入一次性密碼系統,只要登錄這些重要主管的視窗系統時,就必須輸入一次性密碼來確認身分。
