RSA遭駭 Token 換？不換？

RSA SecurID Token召回更換的動作仍然持續進行中，根據外電報導，美國有些企業已經要求更換Token，如花旗集團、美國銀行、富國銀行、摩根大通、澳盛銀行、澳洲西太平洋銀行。於此同時，一些競爭供應商也動作頻頻，例如SafeNet就表示可以為美國的聯邦政府及國防單位免費更換RSA Token成SafeNet的Token。

SafeNet亞太區副總裁陳泓說，近來SafeNet的確收到不少的詢問，其中尤以日本、新加坡、澳洲地區等資安意識高漲的地區反應最熱烈，歐美國家也不乏多讓，但在台灣地區則相對的較沒有聲音。
而SafeNet也針對使用RSA SecurID的客戶有幾項建議：
1. 應該更新用戶端保護，確保所有藉由SecurID連接的用戶端都已完成惡意程式和病毒掃描。
2. 強化存取控制，增加額外的網路認證（密碼或pin）。
3. 提升監控與稽核，增加監控與稽核能力，評估可能的惡意活動。
4. 計畫更換現有憑證，採用新憑證或以更新的種子(seed)更換SecurID憑證，亦或評估其他廠商方案。

RSA, EMC信息安全事業部台灣區業務經理黃惠美表示，進行SecurID更換自然有先後順序，台灣RSA亦是遵從總部的全球策略，以較為機敏的為優先，例如國防單位或是牽涉到智財權的企業。除了成立專案小組，有統一窗口處理相關事宜以外，亞洲地區更有兩人專職處理客戶的所有相關疑慮。她強調，在事件發生的第一時間，早已針對細節向客戶匯報，包括提供客戶最佳的防護方案與持續的關注，此次事件的引發來自於社交工程，而為了保護客戶安全，並不宜透露過多細節，她說，RSA也從技術層面向客戶解釋SecurID的安全機制仍然有效，並非是遭到破解。

HiNet的動態密碼鎖正是標榜使用RSA Token的身分認證產品，除了與Yahoo!奇摩購物的合作以外，亦可使用中華電信本身提供的多種服務。中華電信數據通信分公司行銷處行銷經理簡鴻賓表示，中華電信也在第一時間就進行了解、評估風險。由於中華電信擔任的是一個平台的角色，OTP的序號都是綁定Yahoo!奇摩帳號，因此可說是有三道防線：1. RSA SecurID機制、2.OTP序號綁購物帳號、3. Yahoo!奇摩帳號密碼。可以說是達到多重認證因素，要同時突破這三道防線，客戶才會遭受到威脅，在評估之下認為目前風險尚可控管，因此暫時並不會進行Token的更換。
但他也說，若消費者還是覺得不安全，中華電信當然也提供其他的身分認證方式，如簡訊、自然人憑證等種種不同的認證方式。此外，他們也會持續關注SecurID事件的後續發展和陸續強化自身安全。在最糟糕的情況下，簡鴻賓說，在經過一些平台的測試準備後，中華電信亦可迅速更換Token及其相關系統。