管理手冊:身分識別與存取控制-雙因素認證

從Token到生物辨識技術這些都是強化用戶驗證機制的解決方案之一而企業主們應該仔細慎選替代品以保障安全不致失衡。

　　Token通常都會拿來與登錄帳號和密碼結合並用，是一種目前相當炙手可熱的雙重鑑別機制。(即用戶腦袋當中的密碼，是第一道驗證，而第二道驗證則是用戶本身持有的東西，如Token。)

　　幾乎所有採用一次性密碼(one-time password)的系統，只要驗證程序上出了一點小錯，便極有可能造成系統停擺─不是完全略過驗證程序，不然就是只能在電腦的安全模式下運作。

　　在網路威脅節節高漲的世代，要能真正確定就是用戶本人這檔事，變得異常重要！光是利用網路釣魚詐騙的案件，就不斷地以令人擔憂的比率急速攀升。一項由RSA Security研究人員於今年所作的調查證實，2005年掉入網路釣魚陷阱的平均案例數，從原本每月的2,500件升高到目前每月有3,500件案例。另外，依照RSA的說法，同期間也有愈來愈多的知識工作者─全球約莫有4億人口，投身到網際網路上。

　　當情況愈見惡化時，以前利用帳號和密碼來辨認用戶身分的鑑別方式，現階段已經稱不上是好法子了。另一方面，因為企業要慎防資料從內部被取得和破壞，再加上憂心顧客在虛擬交易當中丟失機密資料等緣故，企業主們也極力找尋替代方案。

　　例如新的美國金管會(FFIEC, Federal Financial Institutions Examination Council)管理條例，就強迫企業組織要達到相關驗證項目。根據一份今年4月份所作成的調查報告指出，Information Security雜誌和SearchSecurity.com的讀者，將強化鑑別機制當成是身分與存取管理的首項要務。

　　諸如Token、智慧卡，以及生物辨識技術和數位憑證，目前均為識別用戶端、顧客群與合作夥伴身分，都可提供強而有力的驗證。不過，要導入這些技術之前，企業們必須先衡量本身的成本與其獲利關係。因為這些解決方案，都有其優缺點存在，而且就算採用也不擔保就可以高枕無憂！

　　不過，幾乎所有企業謹慎遵守的法規條例，都對穩固強健的認證鑑別機制作出一番規定。

　　例如，HIPPA法案第164.3x節，就要求應該要防護共用資料的安全，並且條文中也談到，要驗證遠端登錄的用戶身分，最佳的實行辦法就是採取雙重鑑別機制；另外，每個用戶端也都要配有一組唯一識別碼。而SOX法案的第404節也提及，在行政管理面上，要建立對於企業資料應有的內部管控，並且針對這些內部管控存取權的有效性，也需加以評估了解，尤其是，這些事情主要都與用戶身分以及資料整合有著密切關係！而GLBA法案則是專門設計作為提振顧客信心之用，所以會比較傾於顧客紀錄所擁有的機密性和整合性上面的保護。事實上，最佳政策即是，企業們可以將用戶鑑別機制輔以自動化與可信賴管理。

　　不過，最詳盡的相關法規，還是要屬新的FFIEC規定。文中不但闡釋單一驗證機制的不足外，同時也要求金融單位必須針對線上交易，採取多重防護的身分鑑別機制才行。此外，美國聯邦政府機關也要遵守國土安全總統命令(HSPD-12, Homeland Security Presidential Directive 12)，命令當中更規定，到了2006年11月27日之前，這些機關人員都必須要配有一張單一身分確認卡，以作為實體以及資訊安全存取之用。

　　總體而言，企業組織應該要考量到這些法規項目對其所造成的影響，並且就自身系統層面，也要進行相關的風險分析作業。所以，從本文中，企業應可選擇最適合方案來強化鑑別機制，以防護這些極機密資料的系統能達到眾多法規的要求，又不至於過了頭。

Token 運作模式

　　Token通常拿來與登錄帳號和密碼結合並用，是一種目前相當炙手可熱的雙重鑑別機制。(即用戶腦袋當中的密碼是第一道驗證，而第二道驗證則是用戶本身持有的東西，如Token。) 其實，現在Token已有較多型態的選擇，包括USB Token、一次性密碼(one-time password)產生器，以及可在電腦系統上模擬硬體Token功能的軟體式Token。

優劣之處

　　在所有的Token之中，就屬USB式的Token最具經濟效益，也最饒富多樣性。對一個中大型企業而言，一個Token附加應用軟體的套餐，成本範圍大約是從20~40美元左右。而且，由於USB讀取裝置，現今已成為一般個人電腦的標準配備，所以在這種情況底下，就用不著跟其他雙重鑑別機制一樣─如智慧卡，需要提供額外的讀取裝置。此外，也不似RSA SecurID這種類型的拋棄式密碼產生裝置，USB Token更提供不同憑證和登錄驗證的儲存功能，使得企業在佈署時，會更顯得靈活有彈性。諸如RSA，Aladdin Knowledge Systems、Actividentity( 前身為A c t i v C a r d ) ， 以及Authenex和SafeNet這些公司，與其他少部份廠商，也都有提供USB T o k e n 的選擇。

　　然而，要實作Token佈署計畫可沒那麼簡單！因為一般的Token廠商，都會將其所需佈署的用戶端軟體切割成幾個明確的部份：一種是作為存放網路憑證用的，另一種可能是用於Web網站資訊，第三種也許是當成VPN的通行憑證。如此一來，也就產生了另一種困擾：必須針對不同的軟體元件作單獨的分析處理，並且還得實行軟體版本控制，以確保能與企業內電腦系統相容。再者，用戶們也極有可能不太願意為了要通過企業的存取驗證服務，而將硬體裝置塞在自己的包包裡，更何況，也有可能會將Token搞丟的狀況發生！至於軟體形態的Token雖然可以免除這項缺點，但是它們也只能被用在裝有此類軟體的主機上。軟體式Token所引發的另一個問題則是，可能會在其所安裝的硬體設備上，洩露用戶的帳號和密碼，除此之外，因多工作業所造成的系統程序過載情形，或者是像使用CAD這種需要大量CPU資源和記憶體的工作，以致於毀損用戶端應用軟體(特別是以Java寫成之應用程式)的狀況，這種發生的機率顯得特別高！

注意事項

　　請依照貴企業的安全需求和管理要點採行此一方案！或許是可以為整體企業網域的登錄驗證進行USB Token佈署，要不然的話，單單只與VPN或Citrix系統結合應用也行。

智慧卡 運作模式

　　事實上，智慧卡的外觀就如同一張信用卡一般，不同的是，裡頭的EEPROM晶片上，附有一個小型的微處理器。不過，若要與智慧卡晶片作資料鏈結，那就得透過與智慧卡讀卡機作實體連接，通常這個讀取裝置是可以接在個人電腦上使用的。另外，新一代的智慧卡也會擁有一個與內建微處理器整合的協同運算處理器，專門負責進行複雜的加密演算公式的處理。

優劣之處

　　要廣泛佈署智慧卡，價格的確是一大阻礙！尤其是在第一次導入之際，光再加上讀卡機和軟體的費用，就要高達100美元。不過，目前智慧卡價格已經下滑，並使用與USB Token同樣的晶片，因此功能可說是幾乎完全一樣。然而，就USB Token來說，它遠比智慧卡容易攜帶，同時如果放在褲子的口袋裡，也較不易損壞，更何況，USB Token讀取裝置還是內建在所有的個人電腦當中呢！

注意事項

　　企業主若想採行多功能身分識別裝置，一次通用於實體存取和系統驗證兩大部份的話，不妨考慮一下智慧卡。因為部份廠商所提供智慧卡，不但是一張進出大樓的門禁卡，同時也能作為系統身分驗證之用。所以，如果聯邦機關要符合HSPD-12規定的話，智慧卡應該會廣泛被採用！要是企業非常渴望擁有可作為實體通行和系統驗證之用的生物辨識技術的驗證卡，那麼，HIS公司就有這樣的產品，但是除非是特別以安全為考量的環境，不然光讀卡機和軟體的建置費用，可是會高的嚇人！

生物辨識技術運作模式

　　生物辨識技術要識別一個人，乃是基於實體或行為特徵而定，像臉部、指紋，以及掌紋與視網膜，或者是個人筆跡，亦或是聲音均為辨識依據。所以，有許多電腦製造商便在電腦外殼上或是鍵盤上，加入識別指紋的讀取裝置。在此同時，TCG (Trusted Computing Group) 組織也推動將TPM(Trusted Platform Module)晶片納入到頂級桌上型電腦的主機板當中，或內建於筆記型電腦，甚至是平板電腦上面；所以，像是Dell、Fujitsu、HP和Intel，再加上Lenovo和Toshiba等大廠，都已經加入TCG並支持要採用TPM模組。事實上，TPM晶片就是一個微處理器，裡頭存放著加密演算金鑰，以及用戶端密碼和數位憑證，而我們只需透過用戶端軟體程式，便可建立起一個加密通道進行存取！如果再與內建辨識生物特徵的讀取裝置結合在一起，TPM更可提供牢固的識別機制和憑證儲存功能。

優劣之處

　　主要PC大廠對TPM的接納，再搭配上免費的生物辨識軟體，可促使建置成本費用陡降，還有利於企業進行佈署作業。其實，就單一生物辨識讀取裝置為例，無論是指紋讀取式、視網膜，還是掌形掃描裝置，若再加上應用軟體，然後拿去與過去價格相比的話，落差將近100美元。不過，截至目前為止，就有指紋讀取裝置，被納入個人電腦的設計上。

　　不管內建或是分離式的生物辨識裝置，都會允許複合指紋登錄，以防止主要指頭受傷無法識別的狀況發生。基本上，生物辨識軟體就是將指紋轉換成一連串的資料點，接著這些點就會以數學表示式儲存起來，用以代表某個指紋特徵，但是這些資料卻無法被拿來重新塑造出指紋；甚至有時候，這個指紋特徵的資料還會在某些情況下被故意弄亂，為的只是防止這個指紋特徵遭到更進一步地解讀！而製造廠商也會多方改變量測指紋程序的方法，像交叉比對所產生的誤差值，就是一個非常不錯的量測方式，因為它融合了讀取裝置和辨識軟體所要兼顧的精確度和信賴度二者。另外一點就是，讀取裝置本身就有可能發生錯誤，尤其是當電腦系統會因為人體組織，或電腦電路的緣故，有熱脹冷縮的問題而導致無法正確判讀身分。在採取此種型態的解決方案之前，有部份議題要納入考慮的就是，如何有效佈署並集中控管這些用戶端軟體？若是發現未經授權的存取行為，是否有法子可向伺服主機回報這些安全事件？不過，這個問題的答案顯然會依廠商作法而有不同，舉例來說，並非所有的PC製造商都會訂定中央管理政策，或甚至是用戶佈署機制；所以，這也意謂著我們必須自己複製用戶到每一台電腦上，並分別至每台主機上設定組態。

注意事項

　　像是企業合併、收購案子等重要資料，或技術文件，以及行銷企畫之類的高價值資訊，要是為了要讓使用者存取使用這些資料，進而需指紋辨識裝置，或採行TPM的解決方案之前，那可都得先想清楚再做！接下來的重點，就是得把大至企業小至使用者的事，通盤考慮，將其納入佈署計畫。另外，切記一點：將用戶端程式傳播至數以千計的用戶電腦上，以及再加上蒐集所有使用者指紋的這些時間，也應列入考量之內。

數位憑證運作模式

　　數位憑證一般都是與USB Token或者智慧卡結合並用，不過，它也是能夠獨自應用於鑑別機制當中。當數位憑證指派給用戶端、Token，以及某特定機器之後，只有在存取授權階段期間，憑證才會被讀取。另外，因為目前的加密演算法比以前複雜，而且保全機制也較完善，所以，採用數位憑證的認證方式，是比前幾年要安全的多！

優劣之處

　　數位憑證是一種更為強化的驗證方式，但是佈署的費用會較高。通常來講，如果一般企業的相關基礎建設(包括伺服主機、階層式驗證伺服器網域，再加上內部員工)都要佈署的情況下，在設定和維護上是得付出相當代價的！不過，雖然有其他廠商幫忙管理驗證服務，但這種鑑別機制仍舊是較前述幾項方法貴上許多。

注意事項

　　如果企業組織有著極高的安全需求，比方說，像是政府機關要管理各種等級的資料的話，那倒是可以考慮一下數位憑證。到了今天，雖然數位憑證的費用已經降低不少，但是由於USB Token和TPM晶片佈署率逐漸升高的緣故，所以，也只能冀望往後數位憑證這個部份能夠廣為普及。

安全?危險? 一線之間

　　幾乎所有只用密碼作為驗證手段的系統，只要驗證程序上出了一點小錯，便極有可能造成系統停擺─不是完全略過驗證程序，不然就是只能在電腦的安全模式下運作。這點可是相當地重要！事實上，如果攻擊者能夠取得權力進到系統的話，只消使用能編輯任何格式的編輯器，他便能在微軟Windows系統上的分頁檔或暫存檔案，找尋到認證軟體所遺留下來的帳號及密碼。所以，一旦攻擊者取得用戶名稱和密碼，儘管有多重鑑別機制，他也能登錄成該使用者！然而不幸的是，用戶們又常常在其電腦上存放Token或者是安裝其他驗證裝置，這也使得入侵者能輕易地侵入系統。

　　此外，廠商所提供鑑別之用的軟體程式，也必須要能與企業網路的用戶端軟體運作順暢，關於這一點，Microsoft表現的很好，但它卻有個最大的問題─分頁檔漏洞。不過，其餘像是Novell，Sun Microsystems或其他廠商，雖然沒有獲得安全供應商良好的支援，但相對地，也因為他們使用不同的網路驗證機制，所以理論上是比較安全點！

正是時候

　　無庸置疑地，企業所選擇的驗證技術會決定費用的高低！但是請想想看，假若企業有20%甚至更多的利潤損失，是因為行政電腦遭竊，導致數千筆私密資料外洩，而讓用戶信心大失所造成的話，那麼，這個損害顯然是較前者為大。驗證技術在過去二年，已有長足的進步，並且相信還會繼續下去，而雖然相關軟體也一直在改進當中，但是，此項依然是導致全盤皆輸的根源。再者，眾多解決方案之中所仰仗的政策伺服器也需要不斷地改進，並更加貼近使用者的需求才行！也由於管理費用仍舊過高，使得總體成本增加，不過，此點尚在改善當中。目前時機已到，而各項法規也都紛紛到位！所以，若要透過更好的驗證機制，以提供企業和用戶們有一個更穩固的安全環境，那麼，現在正是時候。結論是，要是今日不採取行動的話，他日必定會面臨到費用與漏洞都升高的窘境。