觀點

更主動的身分認證 用手機寫簡訊OTP

2010 / 12 / 06
張維君
更主動的身分認證 用手機寫簡訊OTP

一直以來,各網路平台不斷有網友傳出帳號密碼被盜用的慘痛事件,造成民眾財務損失。因此許多網拍、線上遊戲、網路銀行等網路業者推出各種身分認證強化機制,包括動態密碼(OTP, One time password)產生器、簡訊動態密碼、晶片卡等來加強認證安全。為解決被動式OTP仍有可能被間諜軟體、木馬程式側錄竊聽,而後複製OTP的問題,業者推出主動式OTP機制,讓使用者持自己的手機,主動將動態密碼以簡訊回傳,來完成身分認證。

 

所謂被動式OTP,例如手機收到網路業者所傳來動態密碼簡訊,用戶再透過電腦輸入此組密碼作身份認證,而主動式剛好相反,必須由使用者看到螢幕所顯示的動態密碼,透過手機編寫簡訊將此組密碼傳回驗證中心。

 

單靠帳號、密碼來驗證身分,太容易被冒用。日前線上遊戲業的主管機關經濟部工業局修訂「線上遊戲定型化契約應記載及不得記載事項」,要求若玩家有使用業者提供的免費安全裝置(如防盜卡、通訊安全鎖),寶物仍然被盜,則業者應優先返還電磁紀錄予玩家。165反詐騙專線警官指出,單靠帳號密碼的認證就像只有一道紗門,很容易破門而入,透過手機做主動式認證,就像鐵門,可增加破解難度。然而要抵禦入侵,只有鐵門也沒用,如果牆壁本身有太多漏洞(用戶電腦被植入各種惡意軟體)還是會讓歹徒輕易穿透。

 

OmniBud執行長林仲宇指出,主動式身分認證機制除了可避免使用者被身分竊取外,也可作為企業網管的第二道實體身分驗證機制,解決不肖系統管理者未經授權存取的問題,或者系統管理者帳號密碼被竊取之後,企業機密資料遭外洩的問題。