最新消息

[電子時報] 觀點-動態密碼安全無虞? 如何方便又安全的使用才是重點!

2008-08-20 *人氣 320*

電子時報  曹乙帆/台北   2008/08/07

前言:雖然動態密碼遠比當前一些基本的帳號/密碼機制來得安全,但最大的問題是,使用者究竟該如何方便又安全的採用這個機制?日前雅虎奇摩拍賣網站推出全新「Yahoo!奇摩帳號安心鎖」服務,提供內政部自然人憑證或中華電信動態密碼鎖2選1之安全認證機制,雖然安全性無庸置疑,同時對整體網路交易安全之提升,有絕對正面的助益,不過使用上仍不夠方便,使安全認證又再度面臨安全與方便相互掣肘的難題。       

 

儘管網路銀行、網路拍賣、線上遊戲等網路活動,早已成為許多人日常生活的一部分,然而層出不窮的各類網路釣魚、間諜軟體、自動下載程式等惡意攻擊,所引發之網路帳號冒用、密碼外洩、信用卡盜刷等安全攻擊事件,已讓正常的網路活動蒙上難以揮卻的陰影。

面對一再發生的網路交易詐欺事件與安全問題,相關網站卻遲遲沒有提供更完善、更安全的保護措施與解決之道,不禁讓使用者發出憤怒的質疑!所幸,令人期盼已久的正面回應終於到來,網路拍賣巨頭雅虎奇摩,於日前推出「Yahoo!奇摩帳號安心鎖」安全服務,希望透過內政部自然人憑證或中華電信動態密碼鎖2種更安全的身分認證機制,讓使用者最感頭痛的帳密竊取與盜用問題,能獲得根本上的解決。

向戶政單位申請取得的自然人憑證猶如網路身分證一般,具備獨一無二的絕佳安全性,即使自然人憑證IC卡遭竊或遺失,也不必擔心私鑰等個人機密有外洩的疑慮,因為該IC卡的金鑰,是在硬體模組中運算產生,所以絕無遭複製而外洩的可能,再加上卡片本身採取密碼及管理密碼之雙密碼設計,即使有心人拾獲,若沒有正確使用密碼,也無法透過讀卡機讀取,如果連續3次所輸入之密碼皆錯,卡片就會遭到鎖卡保護。

再將目光放到與非對稱式自然人憑證截然不同的對稱式動態密碼上,所謂動態密碼,即所謂的11(One Time PasswordOTP),也就是透過對稱式AES演算法產生每按1次都完全不同的金鑰密碼。由於每次產生的金鑰,都具備1次性特點,也就是只能使用1次便立即失效,所以該機制的安全性絕對沒有問題。

網拍業者引進安全認證機制 若不顧方便性實難普及

這次雅虎奇摩引用的這2種認證機制,其安全性當然遠非過去簡單的個人設置帳號密碼所堪比擬,相信對於遏止長久以來十分泛濫的網路交易安全問題,將有一定程度的助益。不過,上述2種安全認證機制,卻仍然無法擺脫不夠方便的緊箍咒,換句話說,屆時能享受到安全保障的,可能僅限於少數「不怕麻煩」的使用者,這就和PKI(Public Key Infrastructure)雖然安全無虞,而且是眾所周知、有口皆碑,但卻遲遲無法普及是一樣的道理。

以自然人憑證來說,首先,使用者必須上網登記申請,再親自攜帶身分證到戶政單位取卡,而且拿到了卡還不能馬上用,必須另購相搭配的讀卡機才行。雖然整個程序不會太複雜,但是比起直接申請配發的動態密碼卡或鎖,可說麻煩得多,況且多數人對自然人憑證還相當陌生,因此,雅虎奇摩拍賣網站所提供的自然人憑證安全機制,或許只能吸引那些已經擁有自然人憑證的使用者。此外,自然人憑證IC卡必須與讀卡機結合使用的方式,也大大限制了該機制的使用彈性,使用者總不能每次都帶著讀卡機出門吧!因此,這種方式較適合於自宅或辦公室等固定場所使用。

至於雅虎奇摩拍賣網站與中華電信合作的動態密碼鎖,比起自然人憑證IC卡,擁有較佳的使用彈性。外型有如USB隨身碟大小的動態密碼鎖,讓使用者可輕鬆地隨身攜帶,原則上,只要能連線上網的地方都可使用。雖然無論從哪個觀點來看,動態密碼鎖似乎都相當簡單易用,但奇怪的是,結合OTP功能的USB TokenUSB Key,抑或Stand-alone的動態密碼鎖,也已推行許久,但市面上的普及度卻依舊不盡理想。

這說明了即便動態密碼鎖再簡單易用,由於必須另外隨身攜帶,使用者仍會感到不便。此外,外型小巧的動態密碼鎖,很可能發生不慎遺失的狀況,雖然不管是遺失或遭竊,有心人士若沒有使用者帳號密碼,也無法發揮任何作用,但是對使用者來說,仍必須另外付費、重新申請,相當麻煩。

利用既有裝置充當OTP 讓使用者自選最方便的安全機制

事實上,銀行業者早已針對自家網路銀行客戶,提供動態密碼安全機制的服務,早先也是採取搭配動態密碼鎖的認證方式,後經證明該模式的確不夠方便,因此,VeriSignICT合作開發出直接將OTP動態密碼機制內建於IC金融卡的產品。由於使用者多半會隨身攜帶金融卡,所以,直接將OTP內建在卡上,可避免使用者忘記帶密碼鎖的情況,同時金融業者也能省下可觀的材料製作費。即使IC卡遺失了,其他人若無使用帳密,也無法正常使用,而且只要立即打電話掛失,即無任何安全憂慮或損失。唯一的缺點就是,使用者停卡重辦的費用,可能會比一般IC卡來得高。

充分利用使用者既有的裝置來充當OTP,才是最實際的解決之道,比起另外配發1個動態密碼鎖來得方便許多,上述OTP金融卡即為不錯的解決方案。此外,銀行業者另推的手機簡訊動態密碼機制,亦屬相當方便的安全措施,該機制會在使用者進行網路交易之際,即時透過手機簡訊發送動態密碼給使用者,使用者只要記得帶手機,且手機電力充沛無虞,就能方便又安全地進行網路金融交易。

而全景軟體所推出的行動動態密碼系統,則可直接將使用者既有的隨身裝置,如手機、PDA與筆記型電腦,轉變成OTP之載具,如此一來,不管是企業VPN網路登錄、網路購物或線上遊戲,使用者皆可方便地透過隨身裝置所產生之動態密碼,安全地加以存取。

在各種隨身裝置當中,最方便的,莫過於直接將筆記型電腦當成OTP,畢竟使用者無論在何處上網,都必須藉助電腦連線,既然如此,何不直接將動態密碼系統安裝在筆記型電腦中?但是別忘了,方便往往與安全背道而馳,最方便的方式,恐怕也意味著最不安全。首先,在Web安全威脅橫行的當下,連瀏覽網頁都可能不慎誤中自動下載木馬,電腦系統的安全維護難度似乎愈來愈高,再加上筆記型電腦使用者若經常處於開放式無線網路環境下作業,其安全風險也可能比桌上型電腦來得高。

除非使用者可以確保自己的筆記型電腦在上述種種威脅下,仍能保持系統的安全性及純淨度,否則,將OTP內建在筆記型電腦中,不但會有安全疑慮,恐怕還會引發一場大災難。如果整台電腦遺失或遭竊,使用者至少可以立即申請停用及重辦,但如果系統被悄悄植入惡意程式,進而讓主控權掌握在遠端駭客手中,那麼,使用者可能要有面對大失血或遭海削好幾層皮的心理準備。

不管動態密碼放在哪裡,或多或少都會產生不安全或不方便的問題,說不定人腦才是最安全又最方便的所在,但是每個人的記憶,可能隨著先天能力、身體狀況或外力因素,而有所影響,所以也非萬無一失且適用於所有人的良方佳策。有鑑於此,佶山公司開發出全新動態密碼系統-以1個每次字元及排列皆不同的密碼表來呈現,使用者無須記住密碼,只要記下密碼表中,自己選定的位置及順序即可。例如選定密碼矩陣表中最右邊1排的位置,以及從上到下的順序,將每次密碼表同一位置的不同字元作為動態密碼。

該系統的確解決長久以來附加OTP裝置之不便,以及人類記憶能力有限的問題,同時兼顧一定程度的安全性。不過,該系統仍然可能因為人類的天性而出現安全盲點-使用者可能貪圖方便或便於記憶起見,而選擇最簡單的排列方式,例如選定密碼表最上面或最右邊1排,或密碼表的對角線,如此一來,駭客便能很容易地猜出使用者所設定的固定位置及順序。

儘管當前的安全認證機制還無法兼顧安全性與方便性,而且每位使用者對安全及方便的定義也各有不同,因此,網路服務供應商何不儘量提供各種安全機制,供使用者自行選擇?也就是說,在一定程度的安全保障下,讓使用者自行選擇最方便的安全機制,或許這才是最好的安全服務方式。
文章出處:DigiTimes 曹乙帆/台北 2008/08/07