2008年3月7日 星期五

網路服務的密碼危機(Crisis of Passwords to Webservices)

現在的網路服務何其多,小到上網留言、大至網路銀行轉帳,全部都能在網路上搞定,不過...也因為網路服務的多樣性,幾乎所有的服務都需密碼認證,這就代表 ── 你玩幾種服務,就得記住幾組帳號、密碼,時間一久就會多到讓你難以記憶。

或許你所使用的網路服務有支援「OpenID」,不然就是屬於特定的服務供應商(Google、Yahoo!...),能夠為你減輕許多記憶上的麻煩,雖然減輕了不小的負擔,相對的就是增加一次被駭所有服務風險,便利與危機的一體兩面就是如此。

然而,我在ZDNet看見了一篇新聞《網路交易安全升級 雅虎擬採動態密碼》,又讓我喚醒了密碼使用這部份的想法,無論你是採用何種方式,若真的不慎發生密碼被盜或遺失事件,真正有損失的,還是只有使用者本身吧!?...

以我自己來說,除了一般密碼以外,我也使用過類似動態密碼產生器(就是一個像隨身碟的裝置)、雙密碼動態鍵盤或是現在主推的晶片認證機制(提款卡、自然人憑證...等),端以使用便利性來說,其實各有利弊。

以動態密碼產生器來說,有誰會沒事多帶一個隨身碟在身上,大多數還是丟在家裡吧!它的確能夠避開被人側錄的風險,但是讓活用性也降低不少,如果你人在外面,臨時想登入該項服務,反而就變得求助無門,如果家中有人,還可以請信得過的家人,幫你按一下再告訴你密碼(通常是六位數字),如果是一人獨居在外,或沒人可以能助「一按之力」,你也只能乾瞪眼。

況且,這樣子的密碼產生器,就一定比較安全嗎?

再我看來,這有點像「防遠親不防近鄰」的做法,為什麼我會這樣說呢?雖然這一類的認證方式,都會多一組「使用者名稱」的確認,以免有人自己去按密碼產生器產生出一組密碼後自行登入(通常以金融服務居多)。可是...使用者名稱應該是可以被側錄下來的吧!?而且去「」一下密碼產生器,把密碼記在腦子裡應該也不難吧!?

這點也突顯了密碼產生器的弱點,以前用印章時,是怕被偷走或複印後去盜領,現在只要產生按一下記在腦子裡,然候在限定的時間內進行登入即可(不用把整個偷走),那個使用者名稱只要先行側錄就能到手(大多數的人,會用同個名稱),如此一來就算東西都還在你手裡,一樣能夠幫你的帳戶來個乾坤大挪移惡整一番

從這裡就能看出,網路服務所潛藏的密碼危機有多大,有時候仔細想想,用動態密碼產生器的安全性有比晶片卡來得高嗎?這一點應該還是有所爭議吧!?那雙密碼、動態鍵盤呢?這部份就見仁見智囉!

還記得我在引言上有一句:「真正有損失的,還是只有使用者本身吧!?」,因為,不管你使用何種密碼認證的方式,只要是你的密碼被盜、側錄、還是任何狀況的損失,都得自行負責。(不信的話,請去翻閱已經長蜘蛛網或是快被拿來包東西的合約書吧!)

其實平台業者或是密碼產生器的廠商,基本上都沒有什麼責任(因為它們只提供產品平台),除非是內部瑕疵漏洞被人駭走資料(安全沒控管),它們會"比較"有責任之外(其實以台灣發生過的實例,大多也是大事化小、小事化無...),其它的就只能使用者自求多福。

那怎樣的密碼認證方式比較安全呢?就筆者自己使用過的方式來說,至少要符合下列幾點:
1.全程採用https的加密連線
2.需要輸入密碼的部份均用動態鍵盤選取(用滑鼠點)。
3.搭配動態密碼產生器
4.強迫使用者名稱每半年變更一次(加上強度限制)。

如果,真的符合了以上我所說的四點,安全性會高一些,可是複雜性會多出許多(如果你有用過動態鍵盤的話,就會理解我說的意思),就變成了民眾接受程度不高,所以我手上有用的網路服務,也沒看過誰敢採用這種方案,頂多是加上一個動態數字的認證就很不錯了。

除此之外,如果你採用動態密碼產生器,還得小心別弄丟了,不然重辦一個也要花上不少錢(可能比你在銀行裡的存款利息還高吧?),這部份的開支,很有可能會因自己的疏忽,轉嫁到使用者身上。在商言商,為什麼銀行願意做這些呢?

因為吸引你到網路銀行(服務)上交易、轉帳,所產生的手續費會積少成多,這也是很多銀行眼紅的收入來源之一(網路交易的熱潮),畢竟賠本生意沒人做呀!(有時候網路服務的噱頭看看就好)

無論你從那個角度切入,都會發現網路服務上的「罩門」很多,我沒辦法像XDite一樣抓網站的Bugs,但是在求新求快的網路變遷下,我們也許該冷靜一下,看看那些才是自己真的迫切需要的服務,那些才是真的便民措施,而不是變相騙民。

我知道坊間有類似密碼記錄軟體(例:keypassKeePass Password Safe...等),那不過是換湯不換藥的作法,不太建議採用,密碼保存的最佳地點,可能還是自己的「腦袋瓜」裡吧!(傻笑...)