理解身分驗證
-
Part 1 身份鑑別最基礎概念
- 身份鑑別防止個人資料遭受濫用、竄改、破壞。
- 介紹與身份相關的盜用新聞。
Part 2 常見身份鑑別方式:帳號密碼驗證
- 介紹帳號密碼驗證的原理
- 使用帳號密碼的例子介紹:Google、Facebook等服務
- 介紹帳號密碼驗證的威脅-釣魚攻擊以及暴力破解等
Part 3 進階身份鑑別方式:多因子驗證
介紹多因子驗證
以下教材參考維基百科。
使用者要通過兩種以上的認證機制之後,才能得到授權。
例如:
使用銀行卡時,需要另外輸入個人識別碼,確認之後才能使用其轉帳功能。
登入校園網路系統時,通過手機簡訊或學校指定的手機軟體進行驗證。
登入Steam和Uplay等遊戲平台時,使用手機權杖或Google身分驗證器進行驗證。
課堂反思- What you know
- What you have
- What you are多因子驗證
多因子驗證,是一種電腦存取控制的方法,使用者要通過兩種以上的認證機制之後,才能得到授權。以下教材參考維基百科
手機OTP
一次性密碼(英語:one-time password,簡稱OTP),是指資訊系統或其他數位裝置上只能使用一次的密碼。OTP 避免了一些與傳統的密碼認證相關聯的缺點,確保單次有效密碼需要存取一個人有的某件事物。
原理
手機動態密碼的產生,是以時間做為伺服器與密碼產生器的同步條件。在需要登錄的時候,就產生動態密碼,從30秒到兩分鐘不等,而OTP在進行認證之後,即廢棄不用,下次認證必須使用新的密碼,增加了試圖不經授權存取有限制資源的難度。
取得方式
1.文字簡訊
因為文字簡訊是一般人很容易能接觸到的技術,所以是最常用作為傳遞動態簡訊密碼的方式;然而,對於駭客攻擊的抗性較低,因此也是此種方式最大的安全性問題。
2.紙本檔案
在某些國家的線上銀行系統會採用預印的方式提供一次性密碼。
3.行動載具
對於某些有成本考量,但是仍希望取得較高安全性的公司,該公司會規劃使用在行動載具上,安裝行動應用程式來產生動態密碼。
4.獨立載具
為了追求更高的安全性,讓一般的使用者也能使用較高成本的方式,將資訊系統產生動態密碼所需的金鑰存放於載具內,藉此避免被駭客攻擊,而產生行動載具的系統的漏洞,進而不小心被取得金鑰。此外,獨立載具內建電池模組,因此會有壽命和回收的問題;或是使用由外部供電的載具,經由類比鍵盤輸入的方式存取金鑰,但是此種載具和電腦有實體接觸,因此沒有與獨立載具相同的安全性。
特色
【優勢】
1.解決使用者在記憶與儲存密碼上的困難。
2.因為密碼只能使用一次,而且是使用動態的方式產生,所以密碼難以預測,可以大為提升使用的安全程度。
【劣勢】
1.一次性密碼大部份都需要手機網路來收取簡訊;
2.收取的方式有可能會因為時間上有延遲而造成無法收取的問題。
手機推播
以下教材參考維基百科
推播技術(英語:Push technology),是一種基於網際網路的伺服器推播通訊方式,其特點在於通訊的請求是由發布者或是中央伺服器發起。
推播技術一般來說是基於預設的設定值,客戶只要通過訂閱就可以由伺服器提供的不同的訊息頻道,當伺服器端有新的訊息產生時,伺服器就會把訊息傳遞給預定訂閱此頻道的客戶端。
在實際的情況中,基於某些客戶端的某些安全策略,例如:某些客戶端封鎖了外界的HTTP/S請求,客戶端會間歇性地向伺服器發起「是否有新的訊息」的詢問,而不是主動地等待伺服器向客戶端傳送新的訊息。
常見使用
「同步會議」和「即時通訊」是推播服務的典型案例。
1.聊天訊息和臨時檔案一旦被傳送,使用者就會通過推播服務接收到。
「Email 服務」有可能也是一個推播系統。現代 email 郵件的客戶端,通過會反覆地詢問郵件伺服器,使這一個過程看起來是瞬間的,email 郵件的客戶端經常會向郵件伺服器檢查是否有新郵件。如果郵件伺服器接受到 email 郵件的客戶端的收到新郵件後,會向客戶端發訊息。2.PointCast Network (點播式網路)
「點播式網路」早在二十世紀九十年代具有非常廣泛的應用。它通過網際網路來推播新聞和股票行情。在瀏覽器問市的巔峰時期,Netscape 和 Microsoft 通過在他們的瀏覽器軟體里整合頻道定義格式(CDF)推播技術。