新型免Token動態密碼取得專利，正朝市場應用著手

為了改善動態密碼（OTP）通常必須持有額外的設備，例如權杖（token）或手機等，日前有一家臺灣新廠商佶山公司，則發表一個新型態的動態密碼，透過一個矩陣式、每次都會改變的密碼表，使用者只需要記住動態密碼設定的位置、順序與個數等變數，就可以不透過額外的設備達到一次性密碼使用的目的。目前已經使用動態密碼提供服務的企業，則期盼這樣的動態密碼使用規則，不用挑戰人類的記憶極限。

新式免Token動態密碼問世
近來在各種企業的應用上，不論是企業內部的稽核，或者銀行或遊戲業者對外提供的服務，採用使用過1次即丟的動態密碼，作為第二道身分驗證工具，在臺灣也越來越普遍。但現階段，多數企業使用動態密碼，往往不脫離token、動態密碼卡，或者是透過另一種管道（如手機）取得時限內有效密碼。而上述這些密碼產生器所造成的攜帶不便或遺失，則成為動態密碼廠商亟欲改善的現象。

佶山公司發表的智慧型動態密碼認證解決方案（Intelligent Dynamic Cipher Authentication Solution，IDCAS），就是一個可完全客製化，也可解決必須攜帶額外動態密碼產生器所造成攜帶不便、或容易遺失的問題。該公司總經理楊文馨表示，這個智慧型動態密碼因為不需要搭配其他的硬體設備，這個動態密碼的產生，是由提供服務的網站所提供，所以使用者必須先經過註冊的程序，方能夠啟用這樣的動態密碼。

臺灣科技大學資訊管理系教授吳宗成表示，這個解決方案是一個在密碼學（Cryptography）上有理論可參考的解決方案，利用科學的方法隱藏資料，預防資料被修改。只不過，以前多是理論概念，這個解決方案則是實務的應用。他說，這個解決方案基本上是回歸：一次性密碼的原理原則，每一次登入認證的密碼都不一樣，加上不用攜帶token，記規則相對方便。

佶山公司發表的動態密碼，主要是透過每次都會產生變動的動態密碼，和混淆視聽的固定碼及任意碼，做交互搭配運用。使用者必須與伺服器事先約定，可以先自行設定5×5或是20×25大小不等、顏色不同的矩陣；而使用者每次登入伺服器後，每一次矩陣出現的數字和文字都有不同，成為動態密碼的基本元件。

以動態密碼、固定碼及任意碼3組變數，強化複雜性
目前多數的密碼設定，多是字元數、長度固定，相對容易遭到暴力破解或透過鍵盤側錄程式（Key Logger）外洩密碼。楊文馨進一步指出，佶山公司推出的動態密碼，註冊使用者在設定矩陣大小後，便利用動態密碼產生的「位置」、「順序」和「個數」，作為每次登入時，使用者所要輸入動態密碼的數字所在。

也就是說，在一個5×8（A～E列、1～8行）大小的矩陣中，註冊者可以設定A列的第1行、C列的第1、3行，E列的第5、7行（即A1、C1、C3、E5、E7）所產生的文字或數字，作為使用者所設定的動態密碼。因為這個矩陣每一次產生的文字與數字皆會改變，所以第一次登入時，如果註冊者設定的A1、C1、C3、E5、E7所產生的文字或數字為i、m、1、2、3的話，該次產生的動態密碼就是im123；下一次登入時，A1、C1、C3、E5、E7所產生的文字或數字若為b、u、s、y、5的話，該次所產生的動態密碼即為busy5。智慧型動態密碼位置、順序和個數，只要其中有一個不對，即為無效的密碼輸入。楊文馨以上述為例，im123與123im雖然文字、數字一樣，但位置與順序不一樣，系統會視為錯誤的密碼輸入。

楊文馨表示，佶山公司研發的動態密碼具有高度客製化，企業用戶若要提升認證的複雜度，甚至可以騙過鍵盤側錄程式，除了動態密碼之外，企業用戶還可以加入了註冊時，事先要求使用者設定的固定碼，以及輸入不起作用，足以混淆視聽的任意碼，作為動態密碼的強化。舉例而言，在動態密碼的前、後，都可以在註冊之初，便事先設定文字、數字字元數、長度不拘，但不能改變的前、後固定碼，例如，前固定碼為IT，後固定碼為HOME；也可以加入輸入無效但可以混淆視聽的任意碼。他說，這樣的交互使用，讓這款動態密碼安全性更為強化。

華梵大學資訊管理系副教授朱惠中則提醒，人的記憶能力有限，當密碼長度到一定程度時，怎麼維持密碼的安全性和實用性，將是這技術在應用上面必須思考的重點。

當系統在與後端伺服器進行驗證時，系統會將前固定碼、後固定碼轉換成MD5的計算結果。後端伺服器在進行驗證的過程中，會把任意碼與固定碼的文字和數字組合，以及動態密碼的位置、順序與個數，以MD5演算法的計算結果，進行一個一個的比對。楊文馨說，「只要有一個數字錯誤，就無法正確比對、驗證過關。」這一套動態密碼已經於去年12月取得臺灣專利，楊文馨表示，希望美國、歐盟的專利申請，能陸續獲得核可。

免Token但密碼規則如何簡化，成為重點
這一套智慧型動態密碼今年4月才正式對外發表，「目前已經有一些企業希望將這一套動態密碼用在企業內部的系統與網站的登入上，」楊文馨說，現階段，該公司也將智慧型動態密碼應用在保全系統上。他繼之表示，該動態密碼無須更改企業用戶的IT架構，只需要多增加一臺認證伺服器，使用者也無須負擔任何硬體的動態密碼設備，在建置成本與使用者負擔的成本，都比現有動態密碼節省許多，不需要隨身攜帶動態密碼的憑證，使用上也較為方便。

中信銀個人金融總管理處經營策略部CRM部副總經理魏爾彰表示，這個方案雖然解決了攜帶第三方認證器具的麻煩，但相對的，密碼規則太多重、過於複雜，使用者反而需要記更多的密碼規則，在使用的便利上，是否真的能比攜帶token或用手機接收動態密碼更方便，仍有待商榷。

目前也使用動態密碼卡確保網路銀行交易安全的兆豐國際商業銀行，該公司資訊處副處長曹金樑也同樣考慮到使用上的便利性。他認為，這個動態密碼加入太多變數，不論是動態密碼的位置、順序和個數不可變更，或者是再加上事先註冊不變的固定碼，或者是掩人耳目的任意碼，記一堆規則還不如拿一個token容易使用。他說，如果這個解決方案可以修正成：只需要記一組動態密碼的位置、順序和個數，但在這個動態密碼的每一個數字中，都可以加入任意碼混淆視聽，或許可以達到兼顧安全與便利使用。

中信銀個人金融總管理處經營策略部網路銀行科經理陶念濬表示，許多採用動態密碼的網站，在與後端伺服器做身分驗證時，往往會夾帶一些能夠判定網站真假的資料在內，藉此判定是否為釣魚網站。他說，產出一些可以與後端伺服器驗證的認證資料，這也成為這一套動態密碼在企業應用上，必須特別關注的事項。文⊙黃彥棻