系統想要在密碼以外,進一步驗證使用者的身分,採取用戶所有的物品進行再次確認,也是相當常見的做法。在我們生活之中,這種機制隨處可見,例如使用金融卡提款,就必須在提款機插入卡片,並且驗證密碼後,才能執行提款、轉帳,或是帳戶餘額查詢等作業。
其實所謂的二次身分認證的範圍相當廣泛,像是避免機器人暴力測試密碼,要求使用者必須額外輸入圖片中的文字,或是點選含有特定物品的圖片,也符合這樣的定義,只是上述兩種機制的目的,在於確認操作者為人類,因此不足以用來代表某個使用者。
論及代表身分的做法,像我們生活中持有的健保卡、悠遊卡,或是公司門禁的感應卡,其實都是現在相當普遍的例子,在過去5至10年之前,採用感應卡的公司還不多,較早到公司的員工,必須要持有鑰匙,才能進出。但如今可以看到不少人只要利用工作時配戴的識別證,就能進入公司大門,也取代上班打卡或是簽到的流程,這就是我們生活周遭中,利用Token取代存取權限和身分識別的其中一種應用,甚至某些卡片能夠整合上述多張卡片的功能,例如部分信用卡和門禁卡,同時結合悠遊卡和便利超商icash小額付款的功能,這種形式現在也相當常見。
此外,企業想要在內部建立這種身分認證方式,在使用者端常見的驗證工具,還有動態密碼Token、透過USB連接的憑證等,像憑證必須連接電腦使用,甚至需要讀卡機。
而動態密碼Token不像卡片便於攜帶,以往接受的程度較為有限,因此近年來,不少系統也開始在智慧型手機上提供身分認證專用的軟體,試圖提升使用者接受的意願:使用者只需安裝,就能利用iPhone與Andriod手機執行相關的進階身分驗證。
以光學感知器加強Token認證的強度
由於Token裝置型式相當多元,也有廠商在這類裝置加入其他功能,增加它的身分認證元素,例如Device 200就以光學感知器讀取閃爍訊號,取代計算機型式的Token在輸入挑戰碼的不便,算是目前相當少見的設計。(圖片來源/Youtube)
大型知名網站服務領軍,開始提供第二階段身分認證機制
在像是Google、Facebook、Twitter、LinkedIn等,納入相關的進階身分認證機制,最常見的一種方式,就是在使用者提供了帳號與密碼之後,要求再輸入一組由系統發送到手機的認證碼。這組密碼只能使用一次,之後再重新登入系統時,必須再取得新的認證資料,才能登入。不過,這項功能並非強制性,因此使用者必須自行啟用,才能享用這樣的防護措施,而且想要使用這樣的服務有個前題,那就是使用者必須擁有行動電話。
在上述提供第二道驗證機制的網站服務中,Google與Facebook都屬於傾向主動提醒使用者啟用相關功能,甚至像前者,自去年開始,每年在全球網路安全日(每年二月的第二個星期二),以贈送2GB雲端硬碟空間為號召,發動使用者檢查帳戶的安全性。但即使像Google採取這種免費大放送的態度,藉著活動讓使用者再次看到他們提供二次身分認證服務,很多使用者可能基於不想提供電話號碼等考量,還是維持傳統帳號與密碼的設定,並未啟用這些服務。
採取獎勵措施,使用者恐怕都不一定願意啟用相關機制,更別說像是Twitter、LinkedIn,這些網站雖然支援第二重的身分認證功能,然而在沒有提醒使用者的情況下,用戶不一定知道網站已經提供這類防護措施,自然也不會採用。
值得留意的是,更多的網站並沒有提供這種二次認證服務,畢竟對於網站服務業者來說,要增加相關認證機制、發送認證碼簡訊都是營運成本,規模較小的網站可能難以負擔這些費用。其中,許多網站支援利用Facebook或Google+等帳號登入的做法,但是,在連接兩個網站帳號的安全性不對等,仍然可能造成網路安全的隱憂。
即使網站業者導入了這些驗證措施後,也積極向使用者宣導,甚至希望透過試圖簡化流程的方式,獲得使用者採用的意願。例如,Google也在近期推出了新的進階身分認證方法,使用者也能選用透過智慧型手機確認的推送方式,不需要在電腦上輸入認證碼,這種做法大幅降低這種進階身分認證流程,因此對於不甚熟悉電腦鍵盤輸入的使用者,運用此種措施,也較容易完成第二階段的身分認證。
大多數的網站或是網路服務,或許基於某些考量,往往還是採取鼓勵、非強制的態度,但也有例外。像即時通訊軟體Line以往帳號遭盜用的情況嚴重,因此現在便要求帳號必須與手機結合,而採用帳號密碼登入電腦版Line時,系統便要求使用者必須在這隻手機App中,輸入指定的驗證碼,或是選擇直接以手機App掃描電腦螢幕上的QR Code,電腦版軟體才能正常登入使用。
雖然這種強制性的做法,同時考驗著使用者的接受度,然而,也因為Line擁有一定規模的忠實使用者,換言之,這些人在需要使用的情況下,必須依照相關的流程執行身分認證。在使用者身分遭到竊取及濫用的情況日漸惡化,或許接下來會有更多的網路服務與網站,陸續改用較為強制性的多重身分認證措施。
Google提供多種二次身分驗證措施
在Google的服務中,兩階段身分認證的方式可透過手機,或是專屬的安全金鑰裝置等工具執行。系統預設的是由簡訊發送第二階段的認證碼,然而最近Google推出在手機中的提示功能,用戶只要在手機上確認就能正常登入使用。
企業身分驗證的方法更加多元,不再只是強式密碼
而在企業環境,與一般公開的網站、網路服務有很大的不同。首先是企業內部的範圍,比起供一般大眾使用的服務範圍較為具體,基本的使用成員就是內部員工,其次為外部的合作廠商與客戶等;再者,由於使用者必須配合公司規範,因此或許可以針對高機密的設施,採取較為嚴謹、複雜的身分認證方法,也能採用像是特定的Token與生物感應設備等。
但最基本的設施,就是將使用者的身分統合,最常見的做法就是採用微軟的AD網域服務,或是以LDAP服務,整合使用者在各種應用程式上的身分認證。這樣的做法下,使用者只要通過AD或LDAP的網域服務身分認證,系統就會自動代為登入電子郵件信箱、存取特定的資料和應用程式,可以說是只要一把鑰匙,就能夠取用所有獲得授權權限的系統。
而像AD網域服務而言,可要求使用者採用高強度的認證密碼,並且定期更換,以及密碼不能重複使用等措施,這些規則雖然是老生常談,卻是相當嚴格的密碼管制措施,但畢竟這些政策仍有選擇使用與否的空間,若是出現使用者反彈的聲浪,IT人員最後很可能被迫關閉相關密碼政策。
此外,對於使用者而言,複雜密碼也往往難以記憶,因此儘管系統強制要求做到相關措施,使用者也有對策。最常見的做法之一,就是用便利貼將密碼貼在螢幕邊框上,但這種方式,形同所有看到便利貼的人,都曉得密碼的內容。
對於早期的Windows作業系統而言,最大的罩門在於每臺電腦都有最高權限的Administrator帳號,形同對駭客而言,每臺電腦都有預設的後門帳號,只要猜到密碼,就能取得電腦控制權。雖然Windows 8之後微軟改變做法,使用者並不能隨意登入這個帳號,但由於PC換機潮始終沒有發生,使用者不願採用Windows 8等因素,也連帶影響這種機制的推行。
因為必須克服使用者可能難以落實使用強式密碼的情況,其他的身分識別措施也因應而生。例如採用生物特徵,像是指紋、掌靜脈、臉部辨識等等,但這類設備的建置成本比較高昂,若是企業的規模不夠大,可能也難以負擔導入這些身分驗證機制的費用。
但近幾來,情況開始改觀,在消費端的應用中,2013年推出的iPhone 5s,開始內建指紋辨識功能,算是一般使用者開始能夠感受到生物辨識普及的開端。
此外,臺灣也有一些企業開始針對顧客,提供這方面的簡化身分認證作業流程。像中國信託推出指靜脈ATM,使用者只需要透過手指靜脈辨識,就能提款或轉帳,皮包裡就不需要再攜帶提款卡;而花旗銀行則是將使用者的聲音辨識運用在客服系統,客服人員可以快速得知來電者的身分,免去確認消費者個人資料所造成的不便。
雖然採用使用者的生物特徵,較具識別性,然而對於不願意導入此類技術的公司而言,也能利用派發給使用者特定的辨識設備,就像是古時候驗證身分的信物一般,做為第二個身分認證措施,其中,我們前面提到的門禁卡就算是其中的一種。
但自從2011年的RSA SecurID憑證外洩事件之後,使用者對於這類產品產生信任危機,或許也是以前這類身分認證工具並未非常普及的因素之一。然而,近年還是有廠商試圖改良這種身分認證機制,例如今年引進臺灣市場的新興資安品牌Datablink,他們主打的就是支援光影閃爍辨識功能的Device 200,它能藉此取得畫面上的特定驗證資訊,產生供使用者執行身分認證的認證碼。
此外,這種特定的閃爍訊號,也可以讓Device 200同時取得畫面中的多筆資料,像是網路轉帳可能會包含轉入的分行、帳號、交易金額等內容,做為進一步比對的資訊。Datablink支援這些做法的主要目的,是設法避免過程中,遭受中間人竄改與身分認證資訊沒有直接相關的交易資料,藉此一併驗證傳送前後的相關內容,是否符合。
多元的Token裝置可供選用
Token的型式相當多元,像圖中SafeNet的型號就多達6款,包含卡片的型式、附數字鍵盤的計算機Token,也有像隨身碟的Token,企業可依據登入需求採用一種或多種Token。
平板電腦內建人臉辨識技術
微軟在Windows 10中內建了Windows Hello生物辨識功能,而Surface Pro 4是搭配相關辨識硬體的示範性機種之一,包含平板機身提供的臉部辨識功能,以及連接特定鍵盤保護套後,也能以指紋辨識的方式使用Windows Hello登入作業系統。
透過指靜脈辨識身分
一般而言,生物辨識大多針對單一特徵進行採樣,然而也有採取兩種方式結合的做法,例如NEC指靜脈辨識器就同時辨識指紋與指靜脈,並且為非接觸式讀取設計,減少接觸辨識時,可能會殘留指紋的情況。此外,NEC也研發人臉、聲紋與簽名等生物辨識的技術。(圖片來源/NEC)
掌靜脈身分辨識也能透過滑鼠執行
在研發掌靜脈辨識領域中,富士通算是相當知名的品牌,這類身分認證往往用於門禁管制設備,而後來富士通也將這樣的功能整合到筆電中,但對於沒有內建的這種辨識裝置的電腦,使用者只要透過PalmSecure滑鼠,還是可以執行這種方式的身分認證。
企業除了自行建置身分認證措施,也能選擇隨租即用的解決方案
想要導入相關的身分認證措施,企業也會考量建置成本,若是一旦有任何狀況,很可能前期的付出就成為浪費。因此,有些身分認證的解決方案,也走向管理後臺隨租即用的模式,試圖減少導入初期的負擔。
例如,前述整合使用者身分的AD網域服務,也有雲端服務的解決方案Azure AD,它可以與企業內部AD整合,以及串接如Office 365等雲端服務,並支援多因素驗證等功能,只是想要用它來取代傳統AD,除了列管設備必須連上網際網路,目前只有執行Windows 10作業系統的電腦,才能加入Azure AD網域,比起傳統AD而言,作業系統的要求較高。
而在專精於身分與資料安全公司Gemalto,旗下的SafeNet就有提供雲端認證管理平臺,在臺灣這個服務由是方電訊代理,採取以使用者人數計價、隨租即用的策略,對於不想初期就投入大量建置成本的企業,也許可以採取這種解決方案。
身分認證管理平臺也能從雲端提供服務
SafeNet提供無需自行架設管理後臺的進階身分認證解決方案Authentication Service,在儀表板中,管理者可看到使用者執行認證的狀態,或是輸出報表、制訂相關政策等。此外,這個平臺也支援透過發送認證碼簡訊的方式,進行身分認證。(圖片來源/Gemalto)
【相關報導請參考「2016身分保衛戰開打!」】