防身份竊取 Hinet推動態密碼鎖

網管問題討論

防身份竊取 Hinet推動態密碼鎖

文章DarkSkyline » 週五 4月 13日, 2007年 10:44 pm

記者馬培治/台北報導  2007/04/09

國內ISP龍頭中華電信Hinet新增雙因素認證機制,推出動態密碼鎖,欲解決日益嚴重的身份竊取問題。

Hinet將由明(10)日起推出名為「動態密碼鎖」的一次性密碼令牌(One-Time Password Token)服務,透過資安業者RSA研發之外型類似隨身碟、每60秒會更新一次的密碼生成裝置,在原有的用戶帳號密碼認證機制之外,增加一次性密碼輸入,希望藉由雙因素認證,解決身份竊取問題,該公司表示。

在防止身份竊取之外,中華電信還會在使用者成功登入後,顯示使用者手上裝置即將更新的新密碼供用戶核對,用以判斷正在連線的是否為釣魚網站。

不過該服務目前仍屬試辦階段。中華電信數據分公司加值系統處處長鄭鳴岡表示,目前該服務的身份認證範圍,僅限於用戶在Hinet官網登入及小額付款時的認證,未來將擴及到無線上網認證,並視試用效果進一步提供予第三方電子商務提供者使用。

ISP業者推出身份驗證機制,某種程度或可說明身份竊取的嚴重性,但同時也顯示了其所可能帶來的商機。

檢視資安廠商過去一年多來的報告,身份竊取不約而同地成為各家業者提出要求注意的重點。McAfee便在今(2007)年初發佈的報告中指出,在2004年1月到2006年5月的調查期間,常見用來獲取使用者帳號密碼的鍵盤測錄程式(Keylogger)便增加了250%,而因身份竊取所造成的經濟損失,據該報告引述美國聯邦貿易委員會的估計,一年可高達美金500億元。賽門鐵克亦在其報告中揭露,去年下半年在台灣最為猖獗的前三個惡意程式,就有兩個是專偷線上遊戲的帳號密碼。

為了對抗身份竊取所可能帶來的經濟損失──或對資安業者來說的可能商機──,資安業者亦紛紛新增釣魚網站辨識產品,如McAfee的SiteAdvisor與賽門鐵克的Confidential及Norton 360。

雖然Hinet在試用期間免費提供動態密碼鎖服務,但這個國內首個推出一次性密碼令牌的ISP業者,未必會一直以免費的形式提供該服務。鄭鳴岡坦承,未來的確可能會對動態密碼鎖使用者收費,但他解釋,收費對象未必會是實際持有密碼鎖的個人用戶,「也可能對欲採用此機制的第三方業者收費,」他說。

儘管能夠提升安全性且可能帶來商機,但競爭業者仍在觀望。Seednet產品經理吳侑勳表示,該公司也在研議加入一次性密碼等雙因素認證機制,但仍需觀察使用者的反應。多輸入一個密碼與設備的保管對用戶來說可能很不方便,「用戶會不會願意為了安全而犧牲一些便利,我們認為仍需觀察,」他說。

Hinet將在六月底前免費提供一萬個動態密碼鎖供該公司寬頻用戶申請試用。鄭鳴岡說,動態密碼鎖只是該公司加強身份認證機制的第一步,未來還可能利用手機簡訊傳送一次性密碼,或是與內政部自然人憑證結合,推出多元的認證機制。

資安專家:一次性密碼有侷限性

資安專家對於ISP業者新增身份認證機制,除了肯定,但也提醒一次性密碼有其侷限性。

賽門鐵克技術總監王岳忠表示,由ISP來提倡安全議題的確有助於提升用戶安全意識,但他補充,一次性密碼僅能解決身份竊取的問題,無法保障使用者上網使用的裝置(電腦、PDA等)的安全性,他提醒使用者還是需要留意電腦有無定期更新等基本動作。

CA技術顧問林宏嘉則說,一次性密碼也有無法解決的盲點。他表示,利用社交工程與網路釣魚的方式,仍可能騙走使用者的帳號密碼。此外,若瀏覽器等應用程式本身有漏洞存在,也可能導致入侵等風險;此外,網站業者提供之Web應用若存在跨網站攻擊程式 (XSS) 弱點,也可能造成損失,「海外已有網路銀行用戶因此遭盜轉帳的案例,」他說。林宏嘉表示,一次性密碼本身雖然安全,但卻不足以應付所有資安威脅。


資料來源:
http://taiwan.cnet.com/enterprise/topic ... 660,00.htm

HiNet 動態密碼鎖網站:
http://otp.hinet.net/otp/index.html
http://www.ublink.org
Tel:04-22605121
E-Mail:eric@ublink.org
Skype:ublink-eric
LineID:0937720133
頭像
DarkSkyline
Site Admin
 
文章: 1860
註冊時間: 週五 12月 8日, 2006年 11:41 am
來自: 台中
送出感謝: 0 次
擁有感謝: 2

回到 網管答問

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 6 位訪客

cron