https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

帳號密碼太單薄 行動憑證確保不可否認性

2012 / 04 / 09
張維君
帳號密碼太單薄 行動憑證確保不可否認性
在去年底、今年初,大陸CSDN論壇與各大網站爆發了網站帳號密碼大量外洩事件,一方面是網站應用程式存在弱點,且因為系統開發者將這些使用者的密碼僅以明文方式儲存,極容易就被直接使用。 儘管當時事件鬧的沸沸揚揚,台灣仍有許多大小網站繼續以明文方式儲存密碼,「在我的密碼沒加密」部落格,站長提醒了幾個疑似存在密碼安全漏洞的網站。站長Allen將在資安展4/19(四)中午於新品發表區實際展示網站密碼問題。

此外,事件之後,許多專家再次呼籲使用者,一定要在不同的網站使用不同的密碼,但事實上每個人每天會存取的網站何其多,對使用者來說要在不同的網站間建立一套不同的密碼設立邏輯也並不容易。對此2udg INC.董事長林仲宇認為,僅單純靠帳號、密碼來當作網站身分識別的方式已經不夠。而安全性高的動態密碼OTP Token,由於企業必須採購驗證系統以及Token硬體,也往往只有少數網路銀行、線上遊戲業者會投入,成本之高難以普及。如今若個資法一旦上路,企業為了自保,不要因為使用者在別的網站帳號密碼被竊因而波及自己的網站,必須確保自己網站的身分識別登入機制具有不可否認性。結合電信公司的行動憑證機制,透過每個人機不離手的行動電話作為認證載具,可提高安全性同時降低被側錄或冒用風險。