強化身分管理是當務之急

拜智慧型手機、雲端服務、社交網路的使用普及所賜，一般個人或企業員工執行各種公共與內部的應用系統時，通常免不了要通過身分驗證的程序，接下來才能順利存取各種功能與資料。

以普羅大眾而言，最常接觸的是即時通訊系統（IM），例如早期的MSN Messenger /Windows Live Messenger/Skype，以及現在臺灣非常多人使用的Line、WeChat，使用者除了在手機上操作，也可能在個人電腦端安裝用戶端軟體使用。不過，在即時通訊軟體的使用上，曾有不少人遇到帳號遭冒用，而被歹徒用來進行線上詐騙的情況，這無非是因為使用者登入系統的密碼受到破解所導致，所幸，業者後來不斷強化身分認證方式，帳號入侵事件也就因此隨之減少。

另外，在電子郵件信箱與社交網路的免費服務上，也有類似狀況，於是逼得廠商必須持續強化登入安全性的防護，例如，整合手機簡訊驗證，幾乎是每一家大型網站服務必備的帳號安全性設施，或者是利用自家的手機App當做動態密碼的產生器，讓使用者將這些臨時性的密碼輸入到網站上，以便確認使用者身分。

當然，這樣的身分保護機制，還是存在著不少可乘之機。例如，使用者一時疏忽，將手機隨便一放、擱置在一旁充電，或讓他人可以隨意取用，造成手機不在自己身邊的情況，再加上沒使用密碼（或與他人共用帳號、密碼）、自動鎖定螢幕等行為，就非常有可能會發生他人擅自執行這些應用系統，而產生冒用與非法存取的狀況。

另一種情況是使用者所設置的密碼過於簡單、常見，別人輕輕鬆鬆就可以猜對，之後自己所用的帳號面臨慘遭冒用的窘境。

其實，這些狀況早在PC時代就很嚴重，甚至在許多不重視資安的企業辦公室裡面，仍然可以看到這種絲毫不設防的危險行為。

例如，員工離開座位，他或她的電腦桌面卻還是不透過手動或自動方式進入鎖定狀態，任何人只要有辦法走到你的辦公座位，就可以不費吹灰之力，透過你的電腦執行任何動作。假如辦公室本身並未裝設視訊監控系統，現場也沒有其他人注意到有人擅自使用你的電腦時，你難以證明電腦在這段期間所進行的任何行為，不是你做的。

或許很多人會認為，自己離開電腦或手機的時間很短暫，不會這麼倒楣，然而，在很多情況下，我們往往會因為一些事情而無法立即回到座位，或是取回手機。

更誇張的是，有些人下班時，連電腦都不關，而且桌面也不鎖定，這樣其實很危險。令人好奇的是，這些使用者憑什麼如此「安心」？其他同事可能在你不知情的狀態下，擅自使用你的電腦，何必冒險？

因此，要杜絕這種可能性的唯一作法，就是要養成好習慣──盡量機不離身，一旦這些裝置離開你的眼前，請記得鎖定螢幕。

不過，如今要做好身分管理，也並非只能靠以密碼為基礎的安全性驗證，隨著有越來越多智慧型手機與筆電內建指紋辨識裝置，或者能透過本身整合的攝影機進行臉部辨識，不論是外部雲端服務、社交網路的業者，或是一般企業，想要透過這些更為先進的方式，驗證登入的使用者身分是否為本人，相關的解決方案選擇越來越多，技術應用門檻已經比過去大幅降低，而且，除了傳統的大型專屬軟體產品之外，現在也有不少廠商開始提供雲端服務形式的身分管理系統。因此，對於有志改善現行身分與存取管理的公司來說，應該積極評估這些解決方案是否合用。

 相關報導  企業身分驗證雲端服務採購特輯