網路攻擊案件層出不窮,從跨國企業到果菜市場,金融產業至傳統製造業,都可能是攻擊目標。愈來愈多攻擊手法,利用竊取用戶端身份登入網路應用服務層,僅帳號、密碼防護遠遠不夠,甚至3DS(3D Secure)驗證流程也遭破解。
來毅數位科技總經理林欣怡於
資安人舉辦的「2021亞太資安論壇暨展會」中指出,不論企業與網路服務在資安上,需做到「零信任模式」,與持續驗證目前環境、狀態安全性等基本要素。新世代身份認證新思維是多因素(Multi-Factor Authentication, MFA)、持續性驗證,驗證方式也應交由用戶決定。
林欣怡說,許多企業使用的雙因素(2FA)身份驗證,包含用戶知道的帳戶與密碼,圖形鎖與手勢等,所謂「你知道的」(What you know)部分,及利用USB Key、OTP產生器產生一次性驗證碼,填入網頁中再次驗證身份,即「你有什麼」(What you have)。
近年來大家談論多因素身份認證,除上述兩項外,還增加「你是誰」(Who you are)生物辨識機制,如臉部、聲音與指紋辨識,與「你做了什麼」(What you do)的行為分析,如用戶所在地理位置、網路行為、擊鍵模式等,辨認使用者是否為本人。
多因素驗證≠多重驗證
「多因素(multi-factors)驗證,並不等於多重(multi-steps)驗證」林欣怡強調,多重驗證是分不同步驟,用不同方式一步步破解,「就像為防止小偷,房屋周圍先加上圍籬,圍籬上再通電。小偷通過圍籬後還要破解門鎖,全部通過後才能入內。」
多因子驗證,「則好比要解開一道上面有很多開關的門鎖,必需在一個動作中,同時打開所有開關才能進入」。
林欣怡說,多重驗證需利用不同方式通過層層關卡,但多因子驗證只需一個動作,但同時有很多方法進行驗證。
例如驗證使用者網路行為,「包含使用者刷卡金額、是否常用同一種裝置、是否在經常去的地理位置、時間、消費金額、品項等,用不同的因素去分析,確認是使用者本人」林欣怡說,這些問題都會一次性判定完成。
相關文章: 網路身分認證安全機制,翻轉過去的思維
「多重驗證的安全性沒有多因素驗證高」她說,多重驗證是「一層層如何防護、破解,駭客都知道」,而多因素驗證模式為系統背後運作,駭客不得而知。因此,各界建議「多因素身份認證」模式較佳。
不僅如此,林欣怡認為,資訊安全應由客戶與廠商共同營造,驗證方式交由客戶決定,用戶也要有自覺,願意配合把關,才能創造安全環境。
資安新思維系列報導(一) :「雲」&「端」的資安痛點:邊界模糊,警訊過多,人手不足
資安新思維系列報導(二) : 第六期國家資通安全法:佈建「主動防禦」聯網,躍升亞太資安樞紐
資安新思維系列報導(三) : 金鑰竊取,駭客攻擊的捷徑
資安新思維系列報導(五) : IT/OT稽核關鍵指標: ISO 27001及 IEC 62443