觀點

替自家企業選擇適切與安全的身分驗證機制

2021 / 12 / 07
投稿文/ 來毅科技
替自家企業選擇適切與安全的身分驗證機制
這幾天證券商的新聞報導頻繁露出,尤其是網路熱搜的兩個詞彙:「omicron 病毒」和「駭客撞庫」。券商業者一則擔憂omicron的不確定性將會是新一波影響經濟市場起伏的病毒,另一則憂心駭客撞庫的資安事件後,股民們是否會因此而移轉到他方券商下單交易以及券商本身企業信譽受損,負面形象增加。
 
「撞庫攻擊」的手法,是駭客從黑暗網路(Dark Web)交易市場上,買下過去被洩露的個資,然後嘗試用這些個資進行攻擊入侵他網尤其是提供網路服務單位的網站,一旦駭客成功入侵,駭客就可以冒用買下的個資用戶身分帳密進行交易,然而提供網路服務的單位,經常是被駭客鎖定為首要入侵攻擊的提供網路服務的業者,因為這些業者是駭客可以從中獲取最多利益的目標對象。
 
上週證券業遭受駭客撞庫攻擊事件,引起一陣波瀾,國內統計約莫有49家受理網路下單的券商,其中3家遭撞庫攻擊,當事件發生後,第一時間證券業相關主管機關金管會、證交所均出來對外發表聲明與要求券商後續的補救與強化。記得兩年前(2019)十一月初,當時台股股價創下20多年來的新高,正值高峰期證券業發生有6家券商遭受到DDoS駭客攻擊事件,當時金管會對證券業祭出了八大資訊安全措施因應防駭,其中一條則是要求券商業者使用電子憑證來確保網路下單交易安全。但經過兩年的時間,券商業者的電子憑證、電子系統的防護力有如同股價數字般向上提升嗎?
 
近幾年來,許多企業或政府組織單位曾發生過的重大資安事件,其肇因來自於內部資料的帳密被盜或是外部網路入口的防護過於鬆散,讓駭客輕易入侵走進屋內。我們可以觀察出,過去的單一身分認證或是雙因素身分認證的方式,幾乎無法再承受現階段的駭客攻擊事件與政策法規所要求的審密規範。因此,多因子驗證(Multi-Factor Authentication, MFA)機制的應用儼然成為現階段企業用戶的偏好,原因是透過多種類、多樣化的認證因子,例如密碼、憑證或是生物特徵等,並且企業可以彈性選擇應用,可以強化帳號密碼的管理,產出強密碼降低系統相關帳號密碼被駭客竊取或是冒用的風險,同時也避開弱密碼的問題產生,因此多因子驗證機制是一套符合目前與未來企業提高系統整體安全性的防護機制之一。
 
身分驗證不論是處在實體環境或是網路數位環境中,都是不可避免的一個程序。尤其與利益直接相關性的交易,那更不容輕忽。從這次券商的資安事件,最關鍵的重要資料則是可以啟動交易的那一道門:用戶的帳密。因此,要如何在打開門前給予嚴謹把關與確保安全無慮,是這次事件發生後所要反思並認真看待的問題:我們的身分認證以及KYC (Know Your Customer,實名認證)的安全機制完善嗎?
 
國內市面上身分認證機制產品,具備國際認證與多因素身分認證的機制功能並不常見,以國內的Keypasco多因素身份認證安全認證服務是市面上難得具備全球16個國家專利認可與雙通道認證機制完備的產品。Keypasco多因素身份認證是採取個人設備特徵值、地理位置並採以以獨特專利的雙管道認證機制搭配智慧風險管理引擎來強化網路使用者的身分安全。
 
對於企業單位使用者的便利性而言,因為是多種認證因子,可彈性選擇應用,無需改變既有的使用者體驗,可與現存的解決方案整合為一體,所以可以無痕式進行導入整合應用。另外值得一提的是對於重視法規面的產業而言,Keypasco多因素身份認證(MFA)完全符合國內外安控基準的要求,例如歐洲GDPR、PSD2、台灣個人資料保護法、甚至也符合國內金融機構辦理電子銀行業務安全控管作業基準以及電子簽章法,這與目前網路環境要求的身分認證的資訊安全機制的契合度非常接近。
 
近兩年的疫情已經改變企業組織的運作方式,從實體環境移動到到網路虛擬環境的互動,現象愈趨明顯,也可能會成為未來我們大家的工作、人際互動的趨勢。因此,替自家企業選擇一個適切與安全的身分驗證機制亦更是大家所需正視的議題。

本文為投稿文章,不代表社方立場。