個資防護的門禁管制-身份鑑別

文 - 孫介人

在現實的世界裡,要驗證一個人的身分有許多種,如根據長相特徵、看證件、比對指紋或者如同武俠小說裡面的令牌、信物等。但是這些方法在網路世界裡通常是行不通的,因為在網路的另一頭你永遠無法確定是一個人或是一隻狗。因此在電腦網路裡必須借由溝通雙方所共同信賴的驗證程序來驗證對方身份,而在網路裡這種方式稱作為鑑別協定(Authentication Protocol)。

許多不法活動均是透過「未經授權存取」導致。在資訊安全的領域中,常會聽到兩個名詞:識別(Identification)與鑑別(Authentication)。其中「識別(Identification)」是用以瞭解使用者為誰,如:登入網路銀行時,會要求使用者輸入帳號或 ID;但如何確認該「登入者」確實是帳戶擁有者本尊?便須透過「鑑別(Authentication)」機制進行確認,而最常見且簡單之鑑別方式便是要求輸入密碼(Password)。但因使用者對於通行碼的使用過程及方式過於輕忽,使用簡單之懶人密碼(如:”0000”、”1234”、生日或電話號碼等),甚至將通行碼直接抄在紙上置於營幕或鍵盤下。在大多數情況下,帳號的登入方式都是靜態的,也有可能是再一段期間不會變動或是根本一個密碼打通關。雖然方便,一但密碼洩漏,所有的安全機制形同虛設。當然極易導致有心人員冒用「您的身分」而通過「鑑別(Authentication)」機制成功登入。

鑑別的方法可分三大類:
(1) Something you know 例如:個人密碼
(2) Something you have 例如:提款卡、憑證
(3) Something you are 例如:指紋、聲音、虹膜

個人密碼是最普遍被採用的,好處是方便、成本低,但也最容易被冒用。所以對於高風險及高隱密性資料的防護,基於資安的考量,在 NIST(National Institute of Standard and Technology)中 SP-122 4.3 Security Controls-Identification and Authentication 及 SP800-53 FAMILY: IDENTIFICATION AND AUTHENTICATION(IA2)都規範了個資存取應採用 Multifactor Authentication(多因子鑑別技術)。

在日常生活裡最常見的 Multifactor Authentication 莫過於 ATM 的操作;我們使用提款卡到提款機提款,提款卡上的帳號就相等於我們的帳號,而提款卡就是第一認證因子,當提款卡插入至提款機時,提款機會要求我們輸入 PIN(Personal Identity Number)碼,這就是第二因子認證,唯有這兩個認證因子全部被認證核可後,才能做後續的轉帳、餘額查詢及提款等行為。

以 Multifactor Authentication 而言;在電腦系統上的運用,除個人密碼外,憑證鑑別是較普遍被採用,技術也較成熟的方法。

憑證 PKI 鑑別方法

運用 PKI 的驗證技術;User 在登入系統之前,提示身分請求進入系統。系統於收到請求時,先檢核該身分是否可放行,並隨機產生一組亂數,回覆 User。User 於接獲這組亂數時,需以自己的私鑰加密,並回覆系統。系統在該 User 公鑰解密,同時驗證該憑證的有效性,驗證正確則放行。 如此不僅可達到 Multifactor Authentication 的標準要求,由於憑證具有不可否認性,同時也符合了個資法中之「行為人必須具備可歸責性」的規定。

資通電腦 ARES uPKI 憑證驗證服務系統提供憑證驗證的相關功能。加速應用軟體及單一簽入認證系統驗章的速度。支援多重憑證驗證功能、提供方便、快速的白名單建置機制、自動黑名單更新功能,是用多種程式語言、支援各種作業平台。讓應用軟體可以快速地驗證簽章的正確性及其他相關作業,大幅降低系統開發成本,並提昇營運效能,更能保障企業機關在面對個資新法上免責與提升競爭力!

>> 回電子報首頁

推Plurk