• 資訊安全概論(114學年)

理解身分驗證

• 講義

• Part 1 身份鑑別最基礎概念

  1. 身份鑑別防止個人資料遭受濫用、竄改、破壞。
  2. 介紹與身份相關的盜用新聞。
     - [個資盜竊旺季！揭露駭客竊取個資的三大常見用途](https://www.eettaiwan.com/20230927nt21-security-cyber/)
     -  [OKX連爆「用戶遭駭盜幣」損失已破100萬鎂，官方回應：調查結果將第一時間公布](https://www.blcktempo.com/okx-exchange-reports-consecutive-incidents-of-users-assets-being-stolen-by-hackers/)

  Part 2 常見身份鑑別方式：帳號密碼驗證

  1. 介紹帳號密碼驗證的原理
  2. 使用帳號密碼的例子介紹：Google、Facebook等服務
  3. 介紹帳號密碼驗證的威脅-釣魚攻擊以及暴力破解等
     - [上半年錄五千宗網絡攻擊　網絡釣魚攻擊增八成半](https://www.hk01.com/%E7%A4%BE%E6%9C%83%E6%96%B0%E8%81%9E/1032224/%E4%B8%8A%E5%8D%8A%E5%B9%B4%E9%8C%84%E4%BA%94%E5%8D%83%E5%AE%97%E7%B6%B2%E7%B5%A1%E6%BB%E6%93%8A-%E7%B6%B2%E7%B5%A1%E9%87%A3%E9%AD%9A%E6%94%BB%E6%93%8A%E5%A2%9E%E5%85%AB%E6%88%90%E5%8D%8A)
     - [「8字元密碼」暴力破解只要37秒！　專家建議：愈長愈安全](https://www.ettoday.net/news/2040513/2737706.htm)
     - [用戶個資也出租？iRent 資料庫未受密碼保護，10 萬名用戶資料外流](https://www.inside.com.tw/article/3573-irent-customer-data-leak)

  Part 3 進階身份鑑別方式：多因子驗證

  介紹多因子驗證
   

  以下教材參考[維基百科](https://zh.wikipediaorg/zh-tw/%E5%A4%9A%E9%87%8D%E8%A6%81%E7%B4%A0%E9%A9%97%E8%AD%89)。

  使用者要通過兩種以上的認證機制之後，才能得到授權。

  例如：

  * 使用銀行卡時，需要另外輸入個人識別碼，確認之後才能使用其轉帳功能。
  * 登入校園網路系統時，通過手機簡訊或學校指定的手機軟體進行驗證。
  * 登入Steam和Uplay等遊戲平台時，使用手機權杖或Google身分驗證器進行驗證。

  課堂反思
     
     - What you know
     - What you have
     - What you are

  多因子驗證

  多因子驗證，是一種電腦存取控制的方法，使用者要通過兩種以上的認證機制之後，才能得到授權。

  以下教材參考[維基百科](https://zh.wikipedia.org/zh-tw/%E4%B8%80%E6%AC%A1%E6%80%A7%E5%AF%86%E7%A2%BC)

  * 手機OTP

  一次性密碼（英語：one-time password，簡稱OTP），是指資訊系統或其他數位裝置上只能使用一次的密碼。OTP 避免了一些與傳統的密碼認證相關聯的缺點，確保單次有效密碼需要存取一個人有的某件事物。

  原理

  手機動態密碼的產生，是以時間做為伺服器與密碼產生器的同步條件。在需要登錄的時候，就產生動態密碼，從30秒到兩分鐘不等，而OTP在進行認證之後，即廢棄不用，下次認證必須使用新的密碼，增加了試圖不經授權存取有限制資源的難度。

  取得方式

     1.文字簡訊

  因為文字簡訊是一般人很容易能接觸到的技術，所以是最常用作為傳遞動態簡訊密碼的方式；然而，對於駭客攻擊的抗性較低，因此也是此種方式最大的安全性問題。

     2.紙本檔案

  在某些國家的線上銀行系統會採用預印的方式提供一次性密碼。

     3.行動載具

  對於某些有成本考量，但是仍希望取得較高安全性的公司，該公司會規劃使用在行動載具上，安裝行動應用程式來產生動態密碼。

     4.獨立載具

  為了追求更高的安全性，讓一般的使用者也能使用較高成本的方式，將資訊系統產生動態密碼所需的金鑰存放於載具內，藉此避免被駭客攻擊，而產生行動載具的系統的漏洞，進而不小心被取得金鑰。此外，獨立載具內建電池模組，因此會有壽命和回收的問題；或是使用由外部供電的載具，經由類比鍵盤輸入的方式存取金鑰，但是此種載具和電腦有實體接觸，因此沒有與獨立載具相同的安全性。

  特色

  【優勢】

     1.解決使用者在記憶與儲存密碼上的困難。

     2.因為密碼只能使用一次，而且是使用動態的方式產生，所以密碼難以預測，可以大為提升使用的安全程度。

  【劣勢】

     1.一次性密碼大部份都需要手機網路來收取簡訊；
     2.收取的方式有可能會因為時間上有延遲而造成無法收取的問題。

  * 手機推播

  以下教材參考[維基百科](https://zh.wikipedia.org/zh-tw/%E6%8E%A8%E9%80%81%E6%8A%80%E6%9C%AF)

  推播技術（英語：Push technology），是一種基於網際網路的伺服器推播通訊方式，其特點在於通訊的請求是由發布者或是中央伺服器發起。

  推播技術一般來說是基於預設的設定值，客戶只要通過訂閱就可以由伺服器提供的不同的訊息頻道，當伺服器端有新的訊息產生時，伺服器就會把訊息傳遞給預定訂閱此頻道的客戶端。

  在實際的情況中，基於某些客戶端的某些安全策略，例如：某些客戶端封鎖了外界的HTTP/S請求，客戶端會間歇性地向伺服器發起「是否有新的訊息」的詢問，而不是主動地等待伺服器向客戶端傳送新的訊息。

  常見使用

  「同步會議」和「即時通訊」是推播服務的典型案例。

     1.聊天訊息和臨時檔案一旦被傳送，使用者就會通過推播服務接收到。

  「Email 服務」有可能也是一個推播系統。現代 email 郵件的客戶端，通過會反覆地詢問郵件伺服器，使這一個過程看起來是瞬間的，email 郵件的客戶端經常會向郵件伺服器檢查是否有新郵件。如果郵件伺服器接受到 email 郵件的客戶端的收到新郵件後，會向客戶端發訊息。

     2.PointCast Network （點播式網路）

  「點播式網路」早在二十世紀九十年代具有非常廣泛的應用。它通過網際網路來推播新聞和股票行情。在瀏覽器問市的巔峰時期，Netscape 和 Microsoft 通過在他們的瀏覽器軟體里整合頻道定義格式（CDF）推播技術。

  多因子驗證介紹：以Google Authenticator為例

  以下教材參考[維基百科](https://zh.wikipedia.org/zh-tw/Google%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E5%99%A8)

  Google身分驗證器是一款軟體權杖，此軟體用於Google的認證服務。它給予一般使用者6-8位的一次性密碼，來登入Google或其他服務站點時的附加驗證。此外，Google身分驗證器也同樣可以給第三方應用軟體使用，例如：密碼管理員或網路硬碟等。

  * Google Authenticator介紹

  本教材參考[Google Help](https://support.google.com/accounts/answer/1066447?hl=zh-Hant&co=GENIE.Platform%3DiOS)

  以 iOS 為例

  * 應用程式相關規定

  如要透過 iPhone、iPod Touch 或 iPad 使用 Google Authenticator，需要以下的基本配備：

  1. 裝置使用的最新版作業系統。
  2. 開啟兩步驟的驗證功能。

  以 Android 為例

  如要透過 Android 裝置使用 Google Authenticator，需要完成以下動作：

  1. 安裝 Android 4.4 以上版本
  2. 開啟兩步驟驗證功能

  * 安裝教學

  [BitoPro 幫助中心-設定 Google Authenticator 驗證，綁定雙重驗證教學](https://bitopro.zendesk.com/hc/zh-tw/articles/6782871242649-%E8%A8%AD%E5%AE%9A-Google-Authenticator-%E9%A9%97%E8%AD%89-%E7%B6%81%E5%AE%9A%E9%9B%99%E9%87%8D%E9%A9%97%E8%AD%89%E6%95%99%E5%AD%B8)

  
  * 使用教學

  [動區動趨-專家教你安全使用Google Authenticator(GA)驗證的6大技巧](https://www.blocktempo.com/6-tips-for-ga-authentication/)