[資安小常識] 設好身分認證關卡,保護您的行動上網安全

作者:Vavrin Chen


 

圖片出處:http://www.pageonce.com/blog/2010/11/12/beef-up-your-passwords/  

處於網路時代,使用者時常利用網路來交換資訊,譬如登錄網站、論壇、電子信箱、行動銀行等等,這些登錄動作常需要帳戶及密碼的身份認證,前一陣子專門提供密碼管理軟體的 SplashData 公司 公布 (英文) 2012 年最爛密碼 – 『 password 』,由於身份鑑別已經成為建立安全行動網路環境的關鍵,本期的資安小常識將告訴您如何設置相對安全的帳戶密碼。

 

網站的登入系統分為單因素認證與雙因素認證,以下將提供您對不同登入系統設置密碼的小技巧:

 

大部分的入口網站採用單因素認證,譬如電子郵件、線上遊戲登入機制都是屬於這個範疇,當使用者需要取得資源或登入系統時,網站會提示用戶輸入帳號和密碼。系統採用加密方式,將帳號和密碼傳送到伺服器端進行比對。而『帳號』用於辨識身分,『密碼』就是所謂的單因素認證。要保障單因素認證的密碼安全,您可以使用:

1.強式密碼:請參考 [資安小常識] 三大準則確保網路密碼的安全

2.將句子拆解設為密碼: 例如 『 I am one of the group. 』 可變成 『I_a_1_o_t_g』(密碼中可以使用底線和空格)。

 

雙因素認證是結合使用者所知道的內容 (例如密碼和身份證號碼等)、所擁有的物品 (例如動態密碼卡, IC 卡,磁卡) 這兩種因素來做為識別。當使用者通過此兩種因素認證時,就能登入應用程式或網站。日常生活中最常見的雙因素認證即是 ATM 提款機:使用者必須利用提款卡 (所擁有的物品),再輸入個人識別號碼 (所知道的內容),才能存取帳戶款項。 PKI 和 OTP 為雙因素認證最常見的兩種應用,此兩種機制的比較如下表:

 

名稱

PKI (Public-key Infrastructure)

OTP (One-Time Password)

使用方式

使用晶片讀卡機與晶片卡進行資料簽章加密

使用讀卡機產生動態安全密碼,有分成:

Time Based (一段時間自動變換碼) 還有 Event Based (按一次按鈕產生新的密碼)

安全

有分軟體式的 PKI Token 和硬體式的 PKI Token。後者硬體式的 Token 相對上是比較安全的。 PKI 利用卡片產生資料,即使被駭客攔截竄改資料內容無法驗證成功。

只能用於認證用途,無法攜帶任何憑證於其上,所以不容易做到數位簽章、加密。 OTP 屬一次性密碼,使用後立即無效,即使被駭客竊取也無法使用。

安裝驅動程式

不用 

需要與電腦連接

不用 (可攜性最廣泛)

使用地點

只能在固定地點、特定電腦

不限 (家裡、辦公室、網咖..)

安裝憑證

不用

安裝軟體

不用

客戶使用成本

便宜

使用業者

遊戲橘子 Playsafe 數位安全卡、內政部自然人憑證、金融卡...等。

遊戲橘子 OTP 動態密碼安全卡、中國信託簡訊 OTP 網路銀行、華南銀行 OTP 密碼保鏢 ...等。

 

雙因素認證的風險是認證過程中若系統有缺陷則可能有中間人介入,或使用者遺失了自己的 Token ,而被第三方取得權限。為了讓您使用雙因素認證更安全,若您的 Token 遺失,需要立即掛失 (將您的 Token 看待成信用卡或提款卡一樣),以便管理者將該 Token 的權限移除。

 

整體來說,個人密碼安全需要符合兩個簡單的要求:

1.對於不同的網路系統使用不同的密碼,您可以將網站分類為大型網站、小型網站、重要網站、普通網站,對於重要的系統使用更為安全的密碼。對於偶爾登錄的討論區,可以設置簡單的密碼;而重要網站像是電子郵件、行動銀行,則必須設置較為複雜的密碼。

2.分散風險, 絕對不要將所有系統皆使用同一組密碼。

保護個人密碼其實只要幾個小步驟,別忘了依照本期資安小常識提供的方法,固定更新並設定高強度的密碼才能保護您的裝置安全喔!

 

 

 

參考資料