新聞

RSA被駭 雙因素認證防護效度亮紅燈

2011 / 03 / 18
張維君
RSA被駭 雙因素認證防護效度亮紅燈

『如果有人真的想取得你的資料,最後一定能弄到手,你是可以採取預防措施沒錯,不過如果對方打定主意非拿不可,最後一定能得手…』這段話摘錄自《黑街駭客》一書,也是此次資安大廠RSAEMC的安全部門)被駭客入侵的寫照。

 

在全球約有4億個使用者透過RSA的動態密碼鎖(One time password) SecureID來存取重要的系統,包括網路銀行、線上遊戲、企業或政府網路等。在台灣,中華電信為了杜絕用戶帳號被盜問題也提供這樣的服務。使用者要登入重要系統時,除了透過第一層的使用者帳號、密碼外,動態密碼鎖是提供第二層防護。目前動態碼鎖有分為硬體式與軟體式(可安裝在手機上執行),硬體式的安全性較軟體式高,不易被逆向工程破解,RSA的產品即屬於此類。其運作方式是RSA的遠端系統與用戶端手持的動態密碼鎖(OTP Token)在時間同步下,會同步產生同樣一組OTP,兩端執行同一支軟體,其安全性是建立在此OTP軟體與Key值的排列組合。然而一旦此資訊被第三方獲得,整個安全防護機制將形同虛設。

 

事件發生後,RSA執行主席Art Coviello選擇在RSA官網上坦然面對。公開信中指出,RSA遇上了類似Google極光事件的APT(Advanced Persistent Threat)攻擊。並且承認有某些與SecureID認證產品有關的資料已外洩,可能會使現有雙因素認證的防護有效性減低。儘管聲稱未接獲有客戶反應受到衝擊,但也隨即表示已通知所有客戶,並在客服網站上提供所有支援資訊以強化客戶系統安全。

 

OmniBud執行長林仲宇認為,單純軟體式的OTP其安全性較低,而硬體式OTP此次事件後也出現疑慮。結合電信網路與OTP軟體的主動式OTP是另一選擇,其運作方式是透過遠端服務廠商將一組動態密碼傳送到用戶手機使用者再經由網頁填回(或者廠商將OTP顯示於網頁,使用者再經指定手機發送簡訊回廠商),兩端彼此有連線作身份確認。

 

不管如何,當GoogleRSA接連傳出遭受持續性滲透攻擊,並且具體導致企業原始碼或重要技術資訊被竊,企業的防禦策略及防禦底線該做到哪裡,值得重新審視。另方面,販賣信任的資安大廠在此事件後,如何採取相關補救措施,以挽回客戶信賴也值得後續觀察。

 

(本文圖片來源:RSA)