[資安白魔法] 你的手機幫我收一下簡訊! 可以嗎??(帳密驗證機制概念篇)

暨MSN詐騙之後,我們近期看到的另一個詐騙手法就是Facebook的可以幫我接收一下簡訊嗎? 唉~!這種手法,真的是老到掉牙的社交工程,而且都是受害者自已出於自願,沒有危機意識的結果!在經過太多人不斷的被詐騙,加上周邊的朋友一而再、再而三的被騙到帳號,加上智慧型手機隨身有!Jason一家三口就有四隻智慧型手機,更別提現在的低頭族,滿山滿谷...

暨MSN詐騙之後,我們近期看到的另一個詐騙手法就是Facebook的可以幫我接收一下簡訊嗎? 唉~!這種手法,真的是老到掉牙的社交工程,而且都是受害者自已出於自願,沒有危機意識的結果!在經過太多人不斷的被詐騙,加上周邊的朋友一而再、再而三的被騙到帳號,加上智慧型手機隨身有!Jason一家三口就有四隻智慧型手機,更別提現在的低頭族,滿山滿谷!但是,大家有沒有想過你使用的環境是否符合安全的要素呢?

Facebook一申請好,其實和裸奔沒有什麼兩樣,不談Facebook,其它的帳號安全呢?從有電腦到現在,提供給公開群眾的服務,驗證方法只有一種:”帳號、密碼”,這種Something you know的驗證方法是最弱的,只要你的太太威脅一下,做夢說夢話,生活習慣差,密碼流出的途徑就多到數不清,更別說現在網路上的眾高手們,隨便一個工具開起來,就可以達到帳號密碼滿天飛的盛況!

那麼,在只有帳號密碼的環境之下,要如何保有我們的安全呢?這個時侯,我們又要碎唸一下了,密碼字元包含複雜度、最短密碼字元長度不小於八個字元、密碼的生命周期最好有定期更換,有真的自動自發做到的舉手!!(每次Jason講資安講座時,只要一問這個問題,在非公務使用的帳號,舉手的一定只有小貓兩三隻!)大家想想,為什麼做不到更換密碼這件事情呢?畢竟,這種麻煩事,真的連Jason都懶了!那有沒有更好的做法呢?有!但是要提供服務的廠商有重視!!

我們把幾種驗證方法和用意說明一下吧!傳統的帳號密碼,我們就不用說明了,大家也從有使用網路服務起,就是這個模式了,我們就不再碎唸囉!

 

帳號密碼+驗證碼

這種驗證機制,僅僅只是適用於字典攻擊的防護,講難聽一點,對於使用者來說,這個機制是保護服務提供商多一些,因為它只是延遲攻擊的時間!讓字典攻擊無法有效的攻擊成功,而猜密碼的人多一些時間做識別和輸入。因此,它呢!只是一個驗證是人、還是機的一種方法。

image

 

帳號密碼+問題

帳號密碼是Something you know(也就是秘密!),只有你知道的一組字串做為密碼,但是問題的問答呢?!也是屬於Something you know,只是這個問題的答案是不是只有你自已知道! 因此,問題的答案愈難辨別,或者是容易有不同答案的問題,這種方式和設第二組密碼的意思相同!不過,難度則大幅度的提升了一大步!像下圖即是一種應用。

image

 

帳號密碼+OTP(One Time Password)

OTP是另一種驗證方式,我們稱為Something you have(持有裝置或設備),隨著帳號密碼保全問題愈來愈困難,加上現在的弱點問題及風險實在是層出不窮時,第二個持有的驗證方式,就成了解決方法,這種方法利用一種連結的概念,它是透過某個實體或是虛擬的物件,使這個物件與持有者發生絕對、且獨一無二的關係,使裝置與人之間的關係密不可破,但這個機制雖然非常的好,也很安全,若就單純的流程面來看,確認為個人是獨一無二的!當然可以做為極佳的驗證方式,但是,若存放私鑰的伺服器遭駭時,則什麼密碼都瓦解了,例如RSA公司被駭,恐怕威脅世界上一半以上的安全機制,這種驗證方法相對安全,但是威脅的重點則必須放在驗證裝置的提供商身上。

 2012-08-11_21-27-49

 

帳號密碼+簡訊

簡訊的驗證在台灣是相當大氣的!因為簡訊的費用多數都是由服務提供商所吸收,他們重視我們的帳號安全才會投入這麼多的費用來做維護,但這種方式則成為小額付款及目前Facebook詐騙的攻擊對象,為何這種有時效性、安全性的驗證還是容易受到攻擊呢?付款機制使用簡訊做為驗證方式是為了確認付款來源,而應用於登入帳號時則是確認現在的持有者和輸入帳密者是同一人!這種也稱為二路驗證,透過兩種不同的路徑(網路、SMS)來確認同一個行為是由授權者所執行的。這種驗證機制最大的問題就在於社交攻擊,由於小額付款僅驗證一次,不驗證手機簡訊與帳號之間的關聯,因此Facebook中的詐騙一定都有特定的購物網站或是付款中心僅驗證手機及驗證碼是否正確

2012-06-20_14-14-44-1

 

帳號密碼+識別圖像

這種方式是用來辦認登入驗證頁面是否正確,若原本有設定了識別圖像,在沒有任何異動的狀況下,有人使用惡意連結要進行釣魚,可以馬上識別出來,是一種識別社交工程的好方法,也可以避免釣魚的攻擊,但是對於保護帳號密碼,也只能做到提醒作用,無法保證安全!

image

 

帳號密碼+SmartCard

這種機制多數用於與財務相關,因為這個二路驗證最貴!也是目前最安全的一種!除非拿到實體的卡片,否則很難能以正常的方式盜取帳密又能登入成功,它非得要有卡片在讀卡機中,且卡片中的金鑰的驗證也是一項必要因素,因此,要破解這樣的驗證機制難度很高,但可能破解到一個窮鬼的卡片,雖然有了卡片,但是又得要去猜或去挖帳號密碼的配對,這種工作吃力不討好,所以少有聽到有人因為這個機制被詐騙成功,且現在網路銀行的提取限制也非常的多,沒有人願意冒這個風險去做這種工作,加上它的投資成本過高,也是主要因素!

image

 

結語

驗證機制到目前為止,免費的服務到近來三年才紛紛引入其它的安全保護機制,都是因為目前的帳號密碼安全漸漸的受到了威脅,尤其是指標性的服務,帳號密碼變成有價值的識別資料,甚至可以用來詐騙,這種都是我們目前所必須重視的問題,另一個問題是,我們在申請帳號密碼時,可能為了方便,會把密碼與帳號產生關聯,例如說Facebook所使用的帳號密碼與twitter的帳號密碼相同,甚至連登入的e-mail 的密碼都相同,那麼,當其中一個服務出了問題時,我們的密碼流出去,不管是密碼沒有加密,或是密碼被盜取,都可能造成其它帳密安全的損失!

帳號密碼是最原始驗證方法,若無法加強保護,至少也要做到上述的帳密保全原則,不然也要養成好習慣,把帳號密碼的差別度做出來,再不然也至少做到多種不同的組合,再不然,也注意一下使用的環境是否安全,希望以上的各種驗證方法的差別,可以讓大家多提醒自已的帳密安全!


Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security