原标题:【当单一密码认证不再安全】辅助密码的身分认证机制,你了解多少?
图片来源:Youtube
系统想要在密码以外,进一步验证使用者的身分,採取用户所有的物品进行再次确认,也是相当常见的做法。在我们生活之中,这种机制随处可见,例如使用金融卡提款,就必须在提款机插入卡片,并且验证密码后,才能执行提款、转帐,或是帐户余额查询等作业。
其实所谓的二次身分认证的範围相当广泛,像是避免机器人暴力测试密码,要求使用者必须额外输入图片中的文字,或是点选含有特定物品的图片,也符合这样的定义,只是上述两种机制的目的,在于确认操作者为人类,因此不足以用来代表某个使用者。
论及代表身分的做法,像我们生活中持有的健保卡、悠游卡,或是公司门禁的感应卡,其实都是现在相当普遍的例子,在过去5至10年之前,採用感应卡的公司还不多,较早到公司的员工,必须要持有钥匙,才能进出。但如今可以看到不少人只要利用工作时配戴的识别证,就能进入公司大门,也取代上班打卡或是签到的流程,这就是我们生活周遭中,利用Token取代存取权限和身分识别的其中一种应用,甚至某些卡片能够整合上述多张卡片的功能,例如部分信用卡和门禁卡,同时结合悠游卡和便利超商icash小额付款的功能,这种形式现在也相当常见。
此外,企业想要在内部建立这种身分认证方式,在使用者端常见的验证工具,还有动态密码Token、透过USB连接的凭证等,像凭证必须连接电脑使用,甚至需要读卡机。
而动态密码Token不像卡片便于携带,以往接受的程度较为有限,因此近年来,不少系统也开始在智慧型手机上提供身分认证专用的软体,试图提升使用者接受的意愿:使用者只需安装,就能利用iPhone与Andriod手机执行相关的进阶身分验证。
以光学感知器加强Token认证的强度
由于Token装置型式相当多元,也有厂商在这类装置加入其他功能,增加它的身分认证元素,例如Device 200就以光学感知器读取闪烁讯号,取代计算机型式的Token在输入挑战码的不便,算是目前相当少见的设计。(图片来源/Youtube)
大型知名网站服务领军,开始提供第二阶段身分认证机制
在像是Google、Facebook、Twitter、LinkedIn等,纳入相关的进阶身分认证机制,最常见的一种方式,就是在使用者提供了帐号与密码之后,要求再输入一组由系统发送到手机的认证码。这组密码只能使用一次,之后再重新登入系统时,必须再取得新的认证资料,才能登入。不过,这项功能并非强制性,因此使用者必须自行启用,才能享用这样的防护措施,而且想要使用这样的服务有个前题,那就是使用者必须拥有行动电话。
在上述提供第二道验证机制的网站服务中,Google与Facebook都属于倾向主动提醒使用者启用相关功能,甚至像前者,自去年开始,每年在全球网路安全日(每年二月的第二个星期二),以赠送2GB云端硬碟空间为号召,发动使用者检查帐户的安全性。但即使像Google採取这种免费大放送的态度,藉着活动让使用者再次看到他们提供二次身分认证服务,很多使用者可能基于不想提供电话号码等考量,还是维持传统帐号与密码的设定,并未启用这些服务。
採取奖励措施,使用者恐怕都不一定愿意启用相关机制,更别说像是Twitter、LinkedIn,这些网站虽然支援第二重的身分认证功能,然而在没有提醒使用者的情况下,用户不一定知道网站已经提供这类防护措施,自然也不会採用。
值得留意的是,更多的网站并没有提供这种二次认证服务,毕竟对于网站服务业者来说,要增加相关认证机制、发送认证码简讯都是营运成本,规模较小的网站可能难以负担这些费用。其中,许多网站支援利用Facebook或Google+等帐号登入的做法,但是,在连接两个网站帐号的安全性不对等,仍然可能造成网路安全的隐忧。
即使网站业者导入了这些验证措施后,也积极向使用者宣导,甚至希望透过试图简化流程的方式,获得使用者採用的意愿。例如,Google也在近期推出了新的进阶身分认证方法,使用者也能选用透过智慧型手机确认的推送方式,不需要在电脑上输入认证码,这种做法大幅降低这种进阶身分认证流程,因此对于不甚熟悉电脑键盘输入的使用者,运用此种措施,也较容易完成第二阶段的身分认证。
大多数的网站或是网路服务,或许基于某些考量,往往还是採取鼓励、非强制的态度,但也有例外。像即时通讯软体Line以往帐号遭盗用的情况严重,因此现在便要求帐号必须与手机结合,而採用帐号密码登入电脑版Line时,系统便要求使用者必须在这只手机App中,输入指定的验证码,或是选择直接以手机App扫描电脑萤幕上的QR Code,电脑版软体才能正常登入使用。
虽然这种强制性的做法,同时考验着使用者的接受度,然而,也因为Line拥有一定规模的忠实使用者,换言之,这些人在需要使用的情况下,必须依照相关的流程执行身分认证。在使用者身分遭到窃取及滥用的情况日渐恶化,或许接下来会有更多的网路服务与网站,陆续改用较为强制性的多重身分认证措施。
Google提供多种二次身分验证措施
在Google的服务中,两阶段身分认证的方式可透过手机,或是专属的安全金钥装置等工具执行。系统预设的是由简讯发送第二阶段的认证码,然而最近Google推出在手机中的提示功能,用户只要在手机上确认就能正常登入使用。
企业身分验证的方法更加多元,不再只是强式密码
而在企业环境,与一般公开的网站、网路服务有很大的不同。首先是企业内部的範围,比起供一般大众使用的服务範围较为具体,基本的使用成员就是内部员工,其次为外部的合作厂商与客户等;再者,由于使用者必须配合公司规範,因此或许可以针对高机密的设施,採取较为严谨、複杂的身分认证方法,也能採用像是特定的Token与生物感应设备等。
但最基本的设施,就是将使用者的身分统合,最常见的做法就是採用微软的AD网域服务,或是以LDAP服务,整合使用者在各种应用程式上的身分认证。这样的做法下,使用者只要通过AD或LDAP的网域服务身分认证,系统就会自动代为登入电子邮件信箱、存取特定的资料和应用程式,可以说是只要一把钥匙,就能够取用所有获得授权权限的系统。
而像AD网域服务而言,可要求使用者採用高强度的认证密码,并且定期更换,以及密码不能重複使用等措施,这些规则虽然是老生常谈,却是相当严格的密码管制措施,但毕竟这些政策仍有选择使用与否的空间,若是出现使用者反弹的声浪,IT人员最后很可能被迫关闭相关密码政策。
此外,对于使用者而言,複杂密码也往往难以记忆,因此儘管系统强制要求做到相关措施,使用者也有对策。最常见的做法之一,就是用便利贴将密码贴在萤幕边框上,但这种方式,形同所有看到便利贴的人,都晓得密码的内容。
对于早期的Windows作业系统而言,最大的罩门在于每台电脑都有最高权限的Administrator帐号,形同对骇客而言,每台电脑都有预设的后门帐号,只要猜到密码,就能取得电脑控制权。虽然Windows 8之后微软改变做法,使用者并不能随意登入这个帐号,但由于PC换机潮始终没有发生,使用者不愿採用Windows 8等因素,也连带影响这种机制的推行。
因为必须克服使用者可能难以落实使用强式密码的情况,其他的身分识别措施也因应而生。例如採用生物特徵,像是指纹、掌静脉、脸部辨识等等,但这类设备的建置成本比较高昂,若是企业的规模不够大,可能也难以负担导入这些身分验证机制的费用。
但近几来,情况开始改观,在消费端的应用中,2013年推出的iPhone 5s,开始内建指纹辨识功能,算是一般使用者开始能够感受到生物辨识普及的开端。
此外,台湾也有一些企业开始针对顾客,提供这方面的简化身分认证作业流程。像中国信託推出指静脉ATM,使用者只需要透过手指静脉辨识,就能提款或转帐,皮包里就不需要再携带提款卡;而花旗银行则是将使用者的声音辨识运用在客服系统,客服人员可以快速得知来电者的身分,免去确认消费者个人资料所造成的不便。
虽然採用使用者的生物特徵,较具识别性,然而对于不愿意导入此类技术的公司而言,也能利用派发给使用者特定的辨识设备,就像是古时候验证身分的信物一般,做为第二个身分认证措施,其中,我们前面提到的门禁卡就算是其中的一种。
但自从2011年的RSA SecurID凭证外洩事件之后,使用者对于这类产品产生信任危机,或许也是以前这类身分认证工具并未非常普及的因素之一。然而,近年还是有厂商试图改良这种身分认证机制,例如今年引进台湾市场的新兴资安品牌Datablink,他们主打的就是支援光影闪烁辨识功能的Device 200,它能藉此取得画面上的特定验证资讯,产生供使用者执行身分认证的认证码。
此外,这种特定的闪烁讯号,也可以让Device 200同时取得画面中的多笔资料,像是网路转帐可能会包含转入的分行、帐号、交易金额等内容,做为进一步比对的资讯。Datablink支援这些做法的主要目的,是设法避免过程中,遭受中间人窜改与身分认证资讯没有直接相关的交易资料,藉此一併验证传送前后的相关内容,是否符合。
多元的Token装置可供选用
Token的型式相当多元,像图中SafeNet的型号就多达6款,包含卡片的型式、附数字键盘的计算机Token,也有像随身碟的Token,企业可依据登入需求採用一种或多种Token。
平板电脑内建人脸辨识技术
微软在Windows 10中内建了Windows Hello生物辨识功能,而Surface Pro 4是搭配相关辨识硬体的示範性机种之一,包含平板机身提供的脸部辨识功能,以及连接特定键盘保护套后,也能以指纹辨识的方式使用Windows Hello登入作业系统。
透过指静脉辨识身分
一般而言,生物辨识大多针对单一特徵进行採样,然而也有採取两种方式结合的做法,例如NEC指静脉辨识器就同时辨识指纹与指静脉,并且为非接触式读取设计,减少接触辨识时,可能会残留指纹的情况。此外,NEC也研发人脸、声纹与签名等生物辨识的技术。(图片来源/NEC)
掌静脉身分辨识也能透过滑鼠执行
在研发掌静脉辨识领域中,富士通算是相当知名的品牌,这类身分认证往往用于门禁管制设备,而后来富士通也将这样的功能整合到笔电中,但对于没有内建的这种辨识装置的电脑,使用者只要透过PalmSecure滑鼠,还是可以执行这种方式的身分认证。
企业除了自行建置身分认证措施,也能选择随租即用的解决方案
想要导入相关的身分认证措施,企业也会考量建置成本,若是一旦有任何状况,很可能前期的付出就成为浪费。因此,有些身分认证的解决方案,也走向管理后台随租即用的模式,试图减少导入初期的负担。
例如,前述整合使用者身分的AD网域服务,也有云端服务的解决方案Azure AD,它可以与企业内部AD整合,以及串接如Office 365等云端服务,并支援多因素验证等功能,只是想要用它来取代传统AD,除了列管设备必须连上网际网路,目前只有执行Windows 10作业系统的电脑,才能加入Azure AD网域,比起传统AD而言,作业系统的要求较高。
而在专精于身分与资料安全公司Gemalto,旗下的SafeNet就有提供云端认证管理平台,在台湾这个服务由是方电讯代理,採取以使用者人数计价、随租即用的策略,对于不想初期就投入大量建置成本的企业,也许可以採取这种解决方案。
身分认证管理平台也能从云端提供服务
SafeNet提供无需自行架设管理后台的进阶身分认证解决方案Authentication Service,在仪表板中,管理者可看到使用者执行认证的状态,或是输出报表、制订相关政策等。此外,这个平台也支援透过发送认证码简讯的方式,进行身分认证。(图片来源/Gemalto)
【相关报导请参考「2016身分保卫战开打!」】
相关:
央广网河南分网消息 刚满18岁的吉某在一美容院打工,客户让其帮忙教在...关键词:微信;吉某;密码;客户;女子说两句相关阅读 男子冒充美女“色诱”...女子偷记客户密码 监守自盗盗窃现金30000元,据了解,2015年8月初,胡某
bnt新闻讯 韩国演员金所炫出演tvN电视台新剧“打架吧鬼神”的剧本认证照公开,清新美与优雅美大比拼。 8日,sidusHQ通过官方平台公开了一组金所炫的剧本认证照。在公开的照片中,金所炫穿着端正的校服,或一本正
实时热点 关键字: 记室友密码偷取钱记室友密码偷取记室友密码偷取钱记室友密码取钱盗刷 日前,一小伙因记室友密码偷取钱被抓。当时小伙程某听到室友跟家人打...合肥一小伙程某听到室友跟家人打电话时道出了银行卡
超少年密码1 [非常娱乐]王俊凯、王源、易烊千玺等人主演网络奇幻喜剧《超少年密码》将于本月11日开播,该剧讲述少年夏常安(王俊凯饰)因为父母的离奇车祸重伤而决定调查真相,在夏常安各种追查AI的过程中,他也渐渐与
bnt新闻讯 韩国KBS电视台新剧“任意依恋”公开秀智、金宇彬、林周焕、林珠银四名主演的 亲笔留言认证照 ,鼓励观众本放死守。 6日,“任意依恋”的秀智、金宇彬、林周焕、林珠银四位主演希望观众们关注该剧的首播