日本NTT DATA研究新認證系統　防止蠻力破解

NTT DATA於週五（10/13）以該公司獨自研發的開放原始碼軟體所產製的Secure OS「TOMOYO Linux」，開發軟體相容性更大、更安全的試作版使用者驗證方式。

未來該試作版將與IC卡或生物認證裝置進行實驗，以應付近年來逐漸增加的蠻力破解（Brute Force Password Cracking）法，並且將此驗證方式推廣至一般商用系統上。

目前網管使用SSH（Secure Shell）來保障連線安全已行之有年，近年來SSH卻有不斷遭受蠻力破解法破解密碼的風險，在日本也曾經發生駭客侵入SSH進行網釣詐騙的案件。

當SSH驗證被突破之後，一般的OS就等於任人宰割。對於蠻力破解法的防禦對策普遍採用公共金鑰（Public Key）驗證法，但是當儲存公共金鑰的媒體遺失或遭竊，一樣有可能讓OS系統或網站暴露在危險之中。

NTT DATA表示，Secure OS擁有可讓管理者自行制定管理政策（Policy）控管使用者的「強制控管存取」機制，利用這項機制可在使用者登錄SSH驗證之後再強制跳出一個不是文字列密碼的驗證，它可以是文字列密碼加上偵測輸入速度驗證的方式，或是以手機才能取得的一次性密碼（One Time Password），端看管理者如何設計。

這些驗證技術都會在NTT DATA的TOMOYO Linux後續研發計畫中公佈，該公司也將持續以Secure OS研究新種類組合式驗證法。（編譯/張志裕）