作者:陳淑萍 / 臺灣大學計算機及資訊網路中心程式設計組行政專員
現在每天新聞媒體大家都頻繁地在談論行人地獄(行車用路安全)、黑心食品(食品安全)或者是後疫情時代(公共衛生安全)等安全議題;但除了這些危及日常生活的討論,再仔細想想,行動裝置、電腦、網路早已經充斥著我們生活裡每分每秒,形成高度仰賴資訊化的社會,咱們現代人日常的「資訊安全」應該同樣有所警惕呀!前幾個月「AI教父」黃仁勳旋風式訪台,也讓大家體驗且認知到資訊高科技早已脫離不了我們的人生,這些方便帶來的風險更值得被討論與重視!
基本的資安概念人人都早已具備
新聞媒體時常報導資料外洩、電腦病毒、勒索軟體與簡訊詐騙等各種大大小小事件,在我們日常生活上,資訊安全其實與我們已經密不可分,認識資安的風險,可以讓您少掉許多不必要的麻煩。而了解資訊安全則要從風險觀念建立起,就像行車用路安全、食品安全與防疫措施一樣落實於生活中,然而在現實面上,資安、方便、風險三者之間存在有很大的矛盾關連性,是有比例損失輕重的原則。最簡單的例子,在現今高溫的夏天,戴口罩是不是又悶又喘?戴安全帽騎機車是不是又熱又汗流浹背黏答答?但捨棄了這些措施,當然就是自願增加了危害健康與安全風險的機率,除此之外,騎車兩段式轉彎、切換車道提早打方向燈等,也都是同樣安全與便利一線之隔的道理。
「資安即國安」是當前國家施政戰略目標之一,近年政府也新設立數位發展部,並且成立專責的資通安全署,雖然很多資安政策的環節是企業、產業、國家層級要去落實與規範,但多半事件發生後檢討的根因,多半是個人疏失得要去思考及注意,因此,至少要懂得將自己能掌控的部分做好。
那為何我們要說,其實基本的資安概念人人都早已具備?舉個最簡單的日常生活例子,您的提款卡會不會隨意交給他人?密碼會不會隨意告訴他人?當然不可能呀!因為怕存款不見嘛!這就是最基本的資安風險認知啦!那為什麼會需要提款卡搭配密碼來提領錢呢?這就是我們今天要談的雙因子驗證(Two-Factor authentication,2FA)最簡單的實例了。
雙因子 vs. 多因子驗證
無論在現實或數位環境當中,為了確認個人身分的真實性,通常不免俗要進行身分驗證的各項程序,為了因應不同樣式的使用情境,身分驗證技術的發展也日趨多元化。然而,單一驗證技術難免有其侷限性,無法確保較高的安全強度,近幾年來觀察,許多重大資安攻擊案件,發生的根因通常起源於組織內部重要的系統資料外洩,或者是較高權限的帳號密碼被盜用而遭非法入侵。因此,早年就開始有國際組織推行「多因子驗證」(Multi-Factor Authentication,MFA)概念,為了就是要降低資訊系統裡重要的帳號密碼遭到假冒或竊用之風險,強化帳號密碼管理藉以提高系統整體安全性,回過頭來談所謂的身分驗證,就是針對以下三類因子去彈性挑選搭配組合運用:
- 所知之事(What You Know):諸如密碼、PIN碼、身分證字號等,需要記憶的資訊。
- 所持之物(What You Have):諸如IC卡、鑰匙、手機等,大家所擁有的物品。
- 所具之形(What You Are):諸如指紋、虹膜、聲音等,我們的生物特徵。
簡單來說,MFA是選擇上述多項因子去執行身分驗證,而2FA屬於MFA概念最簡單的一種,就是單純選擇兩種因子搭配,因為駭客會選擇最好破解的一項驗證因子,想當然密碼是最容易猜測或推斷,所以2FA通常就是除了密碼之外,為了嚴格證明使用者真實身分再增加一項驗證因子,讓駭客更難以得逞,通常就是再加上實體因子,如卡片、鑰匙等,如果高度安全要求的環境就需要考量更高規格的驗證因子,例如搭配上人類生物特徵驗證就更難讓人偽造了。
但任何驗證程序的關鍵都是為身份媒介找到一個平衡點,就如同我們一開始講的,資安、方便、風險三者要取得平衡,同時讓使用者方便提出驗證並運用,也可以兼具資料保護、維繫資訊系統所需的安全等級。大家工作就已經夠忙碌了,當然都也不希望再被擾民、不便利、可靠度不高的驗證方案拖垮作業效率,試想日常生活中,您的手機要開啟網路銀行APP進行轉帳,如果驗證程序繁瑣,也勢必會影響到您的使用意願,所以平衡的取捨是個考量重點。
再從提款卡看資訊安全概念
再回過頭來探討,我們一開始就提到的提款卡案例,幾乎每個人都有去ATM提款機提款的經驗,可能從學生時代在郵局或銀行開戶時,就被告知要注意提款卡的密碼不能隨便讓別人知道,也要注意提款卡的保管,就是會怕自己的錢被他人提領,以往開戶經驗,銀行除了會發一張金融卡、存摺,也會提供一張彌封密碼函,櫃臺行員會要求您立刻至ATM提款機變更密碼。爾後要提款時,就是插入卡片,並輸入自己才知道的新密碼,這是再平常也不過的劇情了。但您仔細想想,其實這種「提款卡+密碼」的方式,其實就是剛剛提到身分驗證中,所要求的雙因子驗證「所持之物+所知之事」,目的就是確認提款者的身分不是假冒,是不是與資訊安全的概念完全相符!
再深入探討,行員給您的彌封密碼函,就是「預設密碼」的概念,您知道提款卡預設密碼一定要改是理所當然的,那請也把這樣的觀念也帶到資訊產品的使用,其實我們在資安教育訓練時常提醒大家,購買任何資訊產品,尤其是連結網路的物聯網設備(Internet of Things,IoT),例如:無線分享器、監視攝影機等,它們的預設密碼一定要安裝後立即變更,否則被盜用的機率是相當的高。
網路監視攝影機使用上更是需要注意,國內外業者看準市場長照、育兒或飼養毛小孩需求,紛紛推出可以透過手機簡單監看住家內外即時監視畫面的網路攝影機,不但價格低廉且安裝上更是方便,但在安全性方面也成了私密傳輸一大隱憂。不法人士透過公開網路位址,並搭配各廠牌經常使用的出廠預設帳號密碼,就可以看遍大街小巷甚至是住宅內的即時影像。類似事件時有所聞,把這樣高風險的東西放在家中儼然是把隱私公開給全世界看,但其實我們只要做好上述的安裝習慣,最重要的是將預設密碼改為較複雜的密碼、定期檢查是否存在異常連線狀況、注意安裝最新原廠更新程式等,是可以大大降低不必要的麻煩與風險。
網路服務的雙因子驗證
網路服務的雙因子驗證更是多元,像國內金融銀行業者經常使用的簡訊一次性密碼(One Time Password,OTP),也就是在您刷卡交易的時候傳簡訊給您一個一次性密碼,讓您再次確認刷卡通行,這也算是一種雙因子驗證;除此之外,也有許多網站登入是提供手機APP驗證功能,如:Yahoo!、Google等服務,下方圖片就是登入Yahoo!購物中心實例,開啟雙因子驗證這項安全性設定後,如果在電腦中登入帳戶,是必須同步在您行動裝置所安裝的Yahoo! APP上按下確定才可以被認可的:
圖片來源:https://tw.buy.yahoo.com/
另外,Google服務也是有提供Google Authenticator(GA)APP服務如下圖,可以將多個網站的帳戶都綁定在GA裡,接下來需要的時候可以客製為各別網站隨時產生一組隨機的六位數密碼讓您當作登入的雙因子驗證之一,而且這組密碼會每30秒自動更新一次,所以讓駭客要入侵帳號的難度更加提升。
圖片來源:https://blog.lapcom.com.hk/
但需要大家注意的是,通常這類雙因子驗證的線上服務預設是沒有啟用的,可能是為了提高用戶的方便性,希望不讓用戶增加登入麻煩,但為了安全起見,建議大家還是要自行去各項服務裡研究設定,善加啟用這類的功能。
政府機關的行動裝置驗證
接下來,我們來談談政府機關有提供什麼雙因子驗證,首先先來談談FIDO(Fast IDentity Online)這項專有名詞,簡單說,它是一種技術標準,可以將跨網站服務、應用系統等多組帳號密碼整合成為一套較快速且安全的登入方式,也就是為了要解決日常生活中,我們必須使用各式各樣的數位服務,而都要各自去記憶不盡相同且又複雜的密碼組合。所以為了因應這樣的數位科技興起,這些複雜且族繁不及備載的密碼組合持續衝擊人們生活令人厭倦,但又時常看到帳號或資料被竊取的新聞又是讓人畏懼三分,因此,FIDO的出現就是為了解決這樣矛盾痛點而產生的驗證概念。
但這樣的學術理論敘述可能有點難理解,以最簡單的日常生活案例來看,我們目前使用LINE通訊軟體,只要想在個人手機以外裝置登入,比如說辦公室桌上型電腦時,通常會選擇輸入電子郵件當作帳號並加上密碼,其實也可以利用個人手機掃描電腦螢幕上的QR Code(如下圖),就可以順利通過驗證後登入同步使用,或者是也可以在行動裝置上結合生物特徵機制,讓登入LINE時不需輸入密碼,選擇透過指紋、臉部或圖形符號完成身分驗證,讓使用者快速登入LINE。同樣地,現在越來越多金融銀行、行動支付APP的帳號密碼也是可以結合行動裝置上述指紋、臉部或圖形符號登入,這些就都是廣義的FIDO應用。
圖片來源:LINE應用系統
而早在2019年,內政部就新推動一項Taiwan FidO臺灣行動身分識別(簡稱TW FidO)的應用,簡單來說,目前國人需要線上申辦各項服務時,如:個人化資料自主運用(MyData)、全民健康保險個人健保資料或個人綜所稅結算申報等,最常用的登入方式,通常就是使用自然人憑證、健保卡並加上密碼,但這兩種方式都需要透過讀卡機確實不太方便,尤其如果是在行動裝置上操作的話更是麻煩。如果採用註冊TW FidO後,就可以下載MOICA憑證管理中心建置的「行動自然人憑證」APP,透過手機上的指紋、臉部生物辨識或圖形符號登入機制來驗證。
圖片來源:https://www.changingtec.com/
以下圖行政院人事行政總處人事服務網為例,在多樣化的登入方式中即有我們所提的行動自然人憑證註冊入口。
圖片來源:https://ecpa.dgpa.gov.tw/
除雙因子驗證外還可以注意些甚麼?
基本的風險觀念還是我們必須要時時刻刻建立的,日常生活中,像是信用卡掉了要立即掛失,收到簡訊或電子郵件通知,發現有未經自己授權的交易,要趕快聯繫發卡銀行等,所以大家應該都知道刷卡達到設定金額,銀行會以簡訊即時通知。但現今科技日新月異,通知方式也是很多樣可以選擇,除了文字簡訊、電子郵件外,安裝銀行APP或串接LINE機器人也是現在流行的方式,通常加入銀行的LINE官方帳號後綁定手機號碼等基本資料,每次交易都會訊息提醒,這也算是一種廣義的資安概念。談到的LINE,我們也更應該懂得利用如下圖的介面,注意異常登入與檢視登入裝置,瞭解是否帳號有從您不知道的裝置登入,而其實很多服務都有類似的功能,但各項服務介面時常更新略有不同,就必須靠自己研究囉!
圖片來源:https://today.LINE.me/
結語
百密必有一疏,透過雙因子驗證融入組織日常工作文化,確保資訊安全機密性、完整性、可用性的精神,促使資訊服務能不允許非授權的存取、不被竊改、破壞、持續運作不中斷就是最終目標,而資安不只是企業、產業、國家層級要去落實與規範,最重要的還是個人的習慣養成,其實,沒有不安全的科技,只有不安全的人,資訊安全不是您我的責任,而是每個人的責任!