Re: [討論] VISA網路驗證
既然有人提到雙因子驗證,不妨來聊一下這種VISA/Master線上輸入密碼的
驗證強弱度問題。
資訊安全裡談身份驗證(Identification Authentication)
有三因子:
1.型一因子(something you know):
簡單說就是只有你才會知道的東西。密碼、口令這種東西都屬於之。
2.型二因子(something you have):
簡單說就是只有你才會有,別人不會有的東西。像是身份證,金融卡這種東西。
3.型三因子(something you are):
簡單說就是你的特徵。例如:指紋、視網膜。
至於哪一種因子強度最強,其實到目前為止都沒有一個定論。且每一種因子驗證
方法亦會影響其安全性。(例如前面有人提到的OTP動態密碼當然相對比靜態密
碼安全)
因此嚴謹的驗證至少都要採取雙因子驗證(Two-factor authentication)
就是至少要包含上面三種因子的兩種以上稱之。
舉例來說,我們去銀行ATM領錢,金融卡(只有你有)+提款PIN(只有你知道)就是
一個嚴謹的身份驗證過程。
(請不要去和我講什麼身份證可能遺失,金融卡可能借給人家用,信用卡可能會掉…
這些都不是正常情況的使用方式,因為在「理論上」,這些東西都是屬於你個人該
保管好,也是只有你個人才能使用的東西)
OK…進入正題。以我個人觀點來看這種驗證機制到底符不符合雙因子驗證。
我個人認為是勉強可以算雙因子,但強度不純。
驗證方式應該屬於「信用卡(的卡號)」(只有你有)+密碼(只有你知道)來完成
這個過程。
但問題點就在於信用卡卡號不若現實中的身份證,就是真的只有那一份。
隨便搜尋一下也知道網路上可以找出一堆信用卡卡號產生機(只是產生出來的能
不能通過銀行授權刷卡又是另一回事)
因此雙因子驗證的這部份個人覺得就是有問題的了。既然信用卡卡號雖然理論上
是只有你才知道,但實務上又不是這麼pure的東西。(相較之下,金融卡的晶片
機制和身份證的防偽措施反而相當可靠)
但話又說回來,網路上刷卡真的這麼恐怖嗎?依據統計卡會被盜刷,百分之九十
都不是出現在資料傳送的過程,而是發生在人為故意行為(例如是傳送到商店,
給不肖店員記錄卡號),以目前的技術而言,消費者倒無須太過擔心這一塊。
(當然,這部份見仁見智,但至少以我認知是這樣認為。這種情況很像很多人家
中築了超高的圍牆,超先進的保全設備,但真實例子中卻告訴我們,發生問題都
不是在你擔心的外賊,而是內部的人。)
老話一句:怕者不用;用者不怕。
--
一片金融風暴中,銀行哀鴻遍野,所幸有國內公務員提出因應之道:
推
10/25 21:51,
10/25 21:51
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.62.4.21
推
12/24 03:56, , 1F
12/24 03:56, 1F
推
12/24 08:29, , 2F
12/24 08:29, 2F
推
12/24 08:53, , 3F
12/24 08:53, 3F
推
12/24 10:04, , 4F
12/24 10:04, 4F
推
12/24 16:43, , 5F
12/24 16:43, 5F
→
12/24 16:44, , 6F
12/24 16:44, 6F
→
12/24 16:44, , 7F
12/24 16:44, 7F
→
12/24 16:44, , 8F
12/24 16:44, 8F
推
12/25 01:26, , 9F
12/25 01:26, 9F
→
12/25 03:40, , 10F
12/25 03:40, 10F
→
12/25 03:40, , 11F
12/25 03:40, 11F
→
04/03 08:13, , 12F
04/03 08:13, 12F
討論串 (同標題文章)
creditcard 近期熱門文章
PTT職涯區 即時熱門文章
19
153