【當單一密碼認證不再安全】輔助密碼的身分認證機制，你了解多少？

系統想要在密碼以外，進一步驗證使用者的身分，採取用戶所有的物品進行再次確認，也是相當常見的做法。在我們生活之中，這種機制隨處可見，例如使用金融卡提款，就必須在提款機插入卡片，並且驗證密碼後，才能執行提款、轉帳，或是帳戶餘額查詢等作業。

其實所謂的二次身分認證的範圍相當廣泛，像是避免機器人暴力測試密碼，要求使用者必須額外輸入圖片中的文字，或是點選含有特定物品的圖片，也符合這樣的定義，只是上述兩種機制的目的，在於確認操作者為人類，因此不足以用來代表某個使用者。

論及代表身分的做法，像我們生活中持有的健保卡、悠遊卡，或是公司門禁的感應卡，其實都是現在相當普遍的例子，在過去5至10年之前，採用感應卡的公司還不多，較早到公司的員工，必須要持有鑰匙，才能進出。但如今可以看到不少人只要利用工作時配戴的識別證，就能進入公司大門，也取代上班打卡或是簽到的流程，這就是我們生活周遭中，利用Token取代存取權限和身分識別的其中一種應用，甚至某些卡片能夠整合上述多張卡片的功能，例如部分信用卡和門禁卡，同時結合悠遊卡和便利超商icash小額付款的功能，這種形式現在也相當常見。

此外，企業想要在內部建立這種身分認證方式，在使用者端常見的驗證工具，還有動態密碼Token、透過USB連接的憑證等，像憑證必須連接電腦使用，甚至需要讀卡機。

而動態密碼Token不像卡片便於攜帶，以往接受的程度較為有限，因此近年來，不少系統也開始在智慧型手機上提供身分認證專用的軟體，試圖提升使用者接受的意願：使用者只需安裝，就能利用iPhone與Andriod手機執行相關的進階身分驗證。

以光學感知器加強Token認證的強度

由於Token裝置型式相當多元，也有廠商在這類裝置加入其他功能，增加它的身分認證元素，例如Device 200就以光學感知器讀取閃爍訊號，取代計算機型式的Token在輸入挑戰碼的不便，算是目前相當少見的設計。（圖片來源／Youtube）

大型知名網站服務領軍，開始提供第二階段身分認證機制

在像是Google、Facebook、Twitter、LinkedIn等，納入相關的進階身分認證機制，最常見的一種方式，就是在使用者提供了帳號與密碼之後，要求再輸入一組由系統發送到手機的認證碼。這組密碼只能使用一次，之後再重新登入系統時，必須再取得新的認證資料，才能登入。不過，這項功能並非強制性，因此使用者必須自行啟用，才能享用這樣的防護措施，而且想要使用這樣的服務有個前題，那就是使用者必須擁有行動電話。

在上述提供第二道驗證機制的網站服務中，Google與Facebook都屬於傾向主動提醒使用者啟用相關功能，甚至像前者，自去年開始，每年在全球網路安全日（每年二月的第二個星期二），以贈送2GB雲端硬碟空間為號召，發動使用者檢查帳戶的安全性。但即使像Google採取這種免費大放送的態度，藉著活動讓使用者再次看到他們提供二次身分認證服務，很多使用者可能基於不想提供電話號碼等考量，還是維持傳統帳號與密碼的設定，並未啟用這些服務。

採取獎勵措施，使用者恐怕都不一定願意啟用相關機制，更別說像是Twitter、LinkedIn，這些網站雖然支援第二重的身分認證功能，然而在沒有提醒使用者的情況下，用戶不一定知道網站已經提供這類防護措施，自然也不會採用。

值得留意的是，更多的網站並沒有提供這種二次認證服務，畢竟對於網站服務業者來說，要增加相關認證機制、發送認證碼簡訊都是營運成本，規模較小的網站可能難以負擔這些費用。其中，許多網站支援利用Facebook或Google+等帳號登入的做法，但是，在連接兩個網站帳號的安全性不對等，仍然可能造成網路安全的隱憂。

即使網站業者導入了這些驗證措施後，也積極向使用者宣導，甚至希望透過試圖簡化流程的方式，獲得使用者採用的意願。例如，Google也在近期推出了新的進階身分認證方法，使用者也能選用透過智慧型手機確認的推送方式，不需要在電腦上輸入認證碼，這種做法大幅降低這種進階身分認證流程，因此對於不甚熟悉電腦鍵盤輸入的使用者，運用此種措施，也較容易完成第二階段的身分認證。

大多數的網站或是網路服務，或許基於某些考量，往往還是採取鼓勵、非強制的態度，但也有例外。像即時通訊軟體Line以往帳號遭盜用的情況嚴重，因此現在便要求帳號必須與手機結合，而採用帳號密碼登入電腦版Line時，系統便要求使用者必須在這隻手機App中，輸入指定的驗證碼，或是選擇直接以手機App掃描電腦螢幕上的QR Code，電腦版軟體才能正常登入使用。

雖然這種強制性的做法，同時考驗著使用者的接受度，然而，也因為Line擁有一定規模的忠實使用者，換言之，這些人在需要使用的情況下，必須依照相關的流程執行身分認證。在使用者身分遭到竊取及濫用的情況日漸惡化，或許接下來會有更多的網路服務與網站，陸續改用較為強制性的多重身分認證措施。

Google提供多種二次身分驗證措施

在Google的服務中，兩階段身分認證的方式可透過手機，或是專屬的安全金鑰裝置等工具執行。系統預設的是由簡訊發送第二階段的認證碼，然而最近Google推出在手機中的提示功能，用戶只要在手機上確認就能正常登入使用。

企業身分驗證的方法更加多元，不再只是強式密碼

而在企業環境，與一般公開的網站、網路服務有很大的不同。首先是企業內部的範圍，比起供一般大眾使用的服務範圍較為具體，基本的使用成員就是內部員工，其次為外部的合作廠商與客戶等；再者，由於使用者必須配合公司規範，因此或許可以針對高機密的設施，採取較為嚴謹、複雜的身分認證方法，也能採用像是特定的Token與生物感應設備等。

但最基本的設施，就是將使用者的身分統合，最常見的做法就是採用微軟的AD網域服務，或是以LDAP服務，整合使用者在各種應用程式上的身分認證。這樣的做法下，使用者只要通過AD或LDAP的網域服務身分認證，系統就會自動代為登入電子郵件信箱、存取特定的資料和應用程式，可以說是只要一把鑰匙，就能夠取用所有獲得授權權限的系統。

而像AD網域服務而言，可要求使用者採用高強度的認證密碼，並且定期更換，以及密碼不能重複使用等措施，這些規則雖然是老生常談，卻是相當嚴格的密碼管制措施，但畢竟這些政策仍有選擇使用與否的空間，若是出現使用者反彈的聲浪，IT人員最後很可能被迫關閉相關密碼政策。

此外，對於使用者而言，複雜密碼也往往難以記憶，因此儘管系統強制要求做到相關措施，使用者也有對策。最常見的做法之一，就是用便利貼將密碼貼在螢幕邊框上，但這種方式，形同所有看到便利貼的人，都曉得密碼的內容。

對於早期的Windows作業系統而言，最大的罩門在於每臺電腦都有最高權限的Administrator帳號，形同對駭客而言，每臺電腦都有預設的後門帳號，只要猜到密碼，就能取得電腦控制權。雖然Windows 8之後微軟改變做法，使用者並不能隨意登入這個帳號，但由於PC換機潮始終沒有發生，使用者不願採用Windows 8等因素，也連帶影響這種機制的推行。

因為必須克服使用者可能難以落實使用強式密碼的情況，其他的身分識別措施也因應而生。例如採用生物特徵，像是指紋、掌靜脈、臉部辨識等等，但這類設備的建置成本比較高昂，若是企業的規模不夠大，可能也難以負擔導入這些身分驗證機制的費用。

但近幾來，情況開始改觀，在消費端的應用中，2013年推出的iPhone 5s，開始內建指紋辨識功能，算是一般使用者開始能夠感受到生物辨識普及的開端。

此外，臺灣也有一些企業開始針對顧客，提供這方面的簡化身分認證作業流程。像中國信託推出指靜脈ATM，使用者只需要透過手指靜脈辨識，就能提款或轉帳，皮包裡就不需要再攜帶提款卡；而花旗銀行則是將使用者的聲音辨識運用在客服系統，客服人員可以快速得知來電者的身分，免去確認消費者個人資料所造成的不便。

雖然採用使用者的生物特徵，較具識別性，然而對於不願意導入此類技術的公司而言，也能利用派發給使用者特定的辨識設備，就像是古時候驗證身分的信物一般，做為第二個身分認證措施，其中，我們前面提到的門禁卡就算是其中的一種。

但自從2011年的RSA SecurID憑證外洩事件之後，使用者對於這類產品產生信任危機，或許也是以前這類身分認證工具並未非常普及的因素之一。然而，近年還是有廠商試圖改良這種身分認證機制，例如今年引進臺灣市場的新興資安品牌Datablink，他們主打的就是支援光影閃爍辨識功能的Device 200，它能藉此取得畫面上的特定驗證資訊，產生供使用者執行身分認證的認證碼。

此外，這種特定的閃爍訊號，也可以讓Device 200同時取得畫面中的多筆資料，像是網路轉帳可能會包含轉入的分行、帳號、交易金額等內容，做為進一步比對的資訊。Datablink支援這些做法的主要目的，是設法避免過程中，遭受中間人竄改與身分認證資訊沒有直接相關的交易資料，藉此一併驗證傳送前後的相關內容，是否符合。

多元的Token裝置可供選用

Token的型式相當多元，像圖中SafeNet的型號就多達6款，包含卡片的型式、附數字鍵盤的計算機Token，也有像隨身碟的Token，企業可依據登入需求採用一種或多種Token。

平板電腦內建人臉辨識技術

微軟在Windows 10中內建了Windows Hello生物辨識功能，而Surface Pro 4是搭配相關辨識硬體的示範性機種之一，包含平板機身提供的臉部辨識功能，以及連接特定鍵盤保護套後，也能以指紋辨識的方式使用Windows Hello登入作業系統。

透過指靜脈辨識身分

一般而言，生物辨識大多針對單一特徵進行採樣，然而也有採取兩種方式結合的做法，例如NEC指靜脈辨識器就同時辨識指紋與指靜脈，並且為非接觸式讀取設計，減少接觸辨識時，可能會殘留指紋的情況。此外，NEC也研發人臉、聲紋與簽名等生物辨識的技術。（圖片來源／NEC）

掌靜脈身分辨識也能透過滑鼠執行

在研發掌靜脈辨識領域中，富士通算是相當知名的品牌，這類身分認證往往用於門禁管制設備，而後來富士通也將這樣的功能整合到筆電中，但對於沒有內建的這種辨識裝置的電腦，使用者只要透過PalmSecure滑鼠，還是可以執行這種方式的身分認證。

企業除了自行建置身分認證措施，也能選擇隨租即用的解決方案

想要導入相關的身分認證措施，企業也會考量建置成本，若是一旦有任何狀況，很可能前期的付出就成為浪費。因此，有些身分認證的解決方案，也走向管理後臺隨租即用的模式，試圖減少導入初期的負擔。

例如，前述整合使用者身分的AD網域服務，也有雲端服務的解決方案Azure AD，它可以與企業內部AD整合，以及串接如Office 365等雲端服務，並支援多因素驗證等功能，只是想要用它來取代傳統AD，除了列管設備必須連上網際網路，目前只有執行Windows 10作業系統的電腦，才能加入Azure AD網域，比起傳統AD而言，作業系統的要求較高。

而在專精於身分與資料安全公司Gemalto，旗下的SafeNet就有提供雲端認證管理平臺，在臺灣這個服務由是方電訊代理，採取以使用者人數計價、隨租即用的策略，對於不想初期就投入大量建置成本的企業，也許可以採取這種解決方案。

身分認證管理平臺也能從雲端提供服務

SafeNet提供無需自行架設管理後臺的進階身分認證解決方案Authentication Service，在儀表板中，管理者可看到使用者執行認證的狀態，或是輸出報表、制訂相關政策等。此外，這個平臺也支援透過發送認證碼簡訊的方式，進行身分認證。（圖片來源／Gemalto）

【相關報導請參考「2016身分保衛戰開打！」】