認證機制應用剖析
我們將從目前的網路銀行、網路遊戲與網路購物,這3個主要的數位身分驗證使用產業中,剖析業者所提供的安全機制是否足以符合目前的資訊環境應用,除了說明每一個機制的運作外,也將透過跨產品機制的評比,讓大家能清楚了解目前所使用的認證機制安全性。
綜觀網路銀行、網路遊戲與網路購物這3個產業所提出來的驗證機制,約可分為8大類:
1. 一般的帳密
2. IP鎖
3. 電腦憑證
4.OTP動態密碼鎖
5. 防盜密碼卡
6. 簡訊安全鎖
7. 電話鎖
8. IC晶片卡
一般的帳密
多數 的認證系統僅採用帳號和密碼來做為身分的驗證,但以目前充斥著惡意程式和病毒的資訊環境下,這似乎不是一個妥當的方式。駭客在寫完後門或是側錄程式後,就 可以等著一堆的帳號密碼自動上門。在網路上你隨時可以透過線上交易購買一堆的信用卡和帳號密碼資料,似乎網路的世界已經找不到隱私的那個成分,人人都隨時 可能被攤在陽光下,任由駭客宰割,傳統的帳密保護機制已經無法保障使用者。
IP鎖之前普遍被運用在網路遊戲的登入。遊戲玩家必須於登入前,先到網頁上填寫自己登入的IP。每當啟動遊戲時,系統會自行比對目前的電腦IP與當初設定的電腦IP位置是否相同,若IP的資訊相符,方可進入遊戲。如果不幸帳號密碼被盜用,當登入的IP資訊不符時,則無法進行遊戲,可以大幅度增加帳號本身的安全性。但此類的保護方式,當遇到被植入Keylog的狀況時,不僅帳密可能被盜,IP address也必然被盜。此時駭客只要假冒你的IP Address,一樣無法逃過被盜用的問題。
電腦憑證
OTP動態密碼鎖
而OTP動態密碼鎖則被運用的相當廣泛,國內的入口網站Yahoo!於去年宣布在網路拍賣的服務推行動態密碼的帳號安心鎖,將帳號登入認證由傳統的帳密認證,提高為雙因素認證。亦有遊戲業者採用OTP動態密碼供玩家選擇運用,甚至有結合3G手機提供手機OTP的服務。中國銀行推出的動態口令牌、大陸魔獸世界的安全令牌都是屬於這種認證方式,海內外的網路銀行業者,也都紛紛以OTP當做是網路交易的認證機制之一。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5370
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
沒有留言:
張貼留言