近年來,要求您輸入密碼的情況急劇增加,舉凡使用手機、電腦、雲端服務等都需要登入帳號密碼來驗證身分 。然而,隨著人們需要記憶的密碼越來越多,許多人為了防止忘記密碼,往往會以同一密碼用於多個服務。一旦其中一個服務遭到駭客攻擊或其他資安事件而造成帳號密碼洩漏,可能會導致其他服務的帳戶也同時被破解。
到目前為止,使用者帳號加上靜態密碼、甚至進階的一次性驗證碼(One Time Password,縮寫為 OTP)動態密碼進行身分驗證已經普及,但隨著駭客攻擊手法不斷翻新(例如搭配自動化工具發動俗稱撞庫的填充式攻擊)和網路釣魚導致的資訊外洩等威脅增加,需要導入除了密碼以外、更高安全性等級的登入驗證。在本文中,我們將解釋雙因子身分驗證(Two-factor authentication,縮寫為 2FA)的好處和使用範例、以及此驗證方式如何幫助降低安全風險。
普遍認知的身分驗證「因素」分為三種類型:
隨著科技的進步,現在又有兩種身分驗證因素開始被納入:
結合這五種因素中的「兩個」因素進行身分驗證的系統即稱為「雙因子身分驗證」(Two-factor authentication,縮寫為 2FA)。近年來,越來越多的企業和政府單位正在審查其內部資訊系統和對外線上服務的登入方法,以提高資訊安全保護等級,其中優先導入的方法主要為雙因子身分驗證(也譯為雙重認證、雙因素認證等)。
然而,「兩步驟身分驗證」(Two-step verification,縮寫為 2SV)是一種使用一種驗證因素進行兩次認證步驟的機制,也因此安全性普遍低於雙因子身分驗證。例如,在啟用服務時,首先輸入電子郵件地址和密碼(知識因素),然後系統會要求用戶回答一個預先設定的安全問題(知識因素),像是「您第一隻寵物的名字是什麼?」。這種情況下,即使進行了兩次驗證步驟,但由於兩個步驟都屬於知識因素,因此這種驗證方式並非雙因子身分驗證,而是兩步驟身分驗證。
而多因子身分驗證(也譯為多重驗證、多重要素驗證、多因素驗證等)是一種使用多種身分驗證因素進行身分驗證的方法。意即雙因子身分驗證是多因子身分驗證的一部分。一般資訊系統安全防護措施做得較好的企業(例如醫療設施、政府機構或金融服務等)會傾向於選擇多因子身分驗證機制。
為什麼需要引入雙因子身分驗證?當然,最大的原因之一是資訊安全措施的加強。
事實上,資安威脅持續攀升的主因在於,駭客發動攻擊需付出的成本與代價並不高,但卻往往造成企業或政府單位極高的金額損失,也因此幾乎在每天的新聞報導都可以看到帳號或個資遭盜用或竊取,進而衍生許多資安事件與問題。
由此可見,過去常見的靜態和動態密碼已經不足以應付頻繁發生的駭客攻擊。也因如此,這幾年來各界幾乎都在推廣零信任網路安全策略,以及無密碼登入技術。
因應情勢,台灣數位發展部資通安全署也已率先於 2022 年 8 月宣布將投入經費,並依據國家資通安全發展方案推動策略著手推動零信任轉型,優先逐步導入以生物辨識為主的無密碼、雙因子身分驗證至A級公務機關(如總統府、國安會、立法院、司法院等)。
以簽署公文為例,A 級公務機關人員每一次於任何地點簽發公文,都必須透過生物辨識的密碼驗證、經過核可的裝置設備,並確認是在安全的連線環境中進行。每一次的系統、資料存取,都必須重複做到帳號密碼驗證、設備驗證,以及安全網路連線的驗證。
除此之外,台灣金管會也責成台灣證券交易所督導證券商強化證券網路交易行為需採雙因子認證(例如下單憑證、綁定裝置、一次性密碼、臉部或指紋等生物辨識等機制)。另外,金管會也在 2023 年 10 月公布「金融服務業辦理數位身分驗證指引」,強調金融業者可以導入雙因子身分驗證,以在促進金融創新服務的同時兼顧客戶的財產安全。透過強化身分驗證,能夠有效防範詐騙者冒用身分,防止民眾財產被盜風險。提高金融系統的安全性,確保使用者在使用創新金融服務時能夠享受到更為可靠的保護措施。
由政府重視資安一事,可見資安儼然已成當前最迫切需要被解決的問題。
隨著網路威脅和釣魚攻擊的日益複雜,單一因素的身分驗證方法已經無法滿足現代數位安全的需求。因此,雙因子身分驗證的使用正在穩步增加。全球最具權威的IT研究與顧問諮詢公司 Gartner 更預測在 2025 年,全球超過 50% 的員工身分驗證和超過 20% 的客戶身分驗證場景將會導入無密碼的身分驗證方式,而這些方式包括但不限於生物辨識、實體安全金鑰和認證應用程式。
常見的雙因子身分驗證範例有以下:
這些驗證的設計目的是在一個因素被攻破時,另一個因素仍然能提供保護,透過不同因素的組合,就可以提高身分驗證的門檻,阻止惡意第三方的未經授權使用並防止造成損失。以第一個範例為例,即使攻擊者獲得了使用者的帳號與密碼,他們仍需要取得使用者的手機來獲取一次性密碼,這大幅提高了安全性。
另外,為了進一步說明無密碼的雙因子身分驗證的新型應用趨勢,列舉範例如下:
隨著科技的進步和企業更高的資訊安全需求,身分驗證方式的範圍和複雜度正在擴大。未來,企業可能會採用結合生物辨識和行為分析等更先進的身分驗證方式,以進一步強化數位資訊安全。
現在,生物辨識(生物因素)由於其便利性、不易偽造等各種原因,正快速的被雙因子身分驗證解決方案所採用。生物辨識中的人臉辨識以其「零接觸特性」與「發展成熟度」成為企業選擇成為驗證方式的重要原因之一。
人臉辨識是一種生物特徵驗證系統,它使用攝影機鏡頭偵測到臉部影像來驗證一個人的身分。
其中,人臉辨識有以下優點:
首先,使用人臉辨識的優點是幾乎不存在忘記、損毀或丟失的風險。如上所述,依賴人的頭腦的知識因素,例如密碼和回答客製化的個人問題,總是存在被遺忘的風險。
另一方面,IC 卡和識別證、實體金鑰等擁有因素恐會有損毀或丟失的風險。除此之外,即使擁有者小心翼翼地不丟失該物件,該物件也有可能被第三方惡意竊取或偽造。
人臉辨識從這方面可以毫不誇張地說,忘記或失去的風險幾乎為零,除非使用者遭遇重大傷害或是選擇進行容貌整形。
以電腦設備登入認證為例,透過在傳統的帳號和密碼(知識因素)的基礎上增加臉部辨識(生物因素),可以相對輕鬆地實現雙因子認證。現在許多人的筆記型電腦都已配備攝影機,因此無需添購新設備。對於那些了解資訊安全措施的必要性,但不願付出額外硬體成本的人來說,這是一個便利且易於實現的方法。
即使雙手被佔用,只要能夠偵測到臉部,人臉辨識就可以正常運作。因此即使在手持行李等情況下,也可以順利地驗證該人的身分,而無需花費額外的時間。甚至,現在先進的臉部辨識系統,已經可以在佩戴口罩或護具時也能高度準確地辨識人員,無需摘下口罩或護具進行身分驗證。
每種認證方式都有可能被攻擊或破解,但偽造跟破解的難易度不同,因人臉辨識技術推出的時間較長,自然發展出了更為成熟、可靠的防偽技術,大幅減低攻擊偽造的風險,詳細內容可以參考人臉辨識防偽技術可以被輕易攻破嗎一文。
由於上述這些原因,在評估導入雙因子身分驗證時,較多企業或組織單位會選擇採用人臉辨識作為驗證元素之一。
在快速變化的數位環境中,雙因子身分驗證已成為保障企業和個人資訊安全的關鍵機制。本文介紹了雙因子身分驗證的基本概念、雙因子身分驗證和兩步驟身分驗證的區別,以及其在提升安全性方面的具體應用。隨著技術的進步,新的身分驗證因素如行為因素和情境因素被引入,進一步強化了遠距身分驗證的可靠性。人臉辨識作為生物因素的代表,因其便捷性和高安全性,將在未來的雙因子身分驗證中發揮重要作用,為用戶提供更可靠的保護。
與業務團隊
