首頁 > 盜取密碼諜對諜
:::

盜取密碼諜對諜

2016/11/30
185
當你在公共場所,用手機螢幕上的虛擬鍵盤輸入密碼,是否想過您的一舉一動可能都在陌生人的注視之下?要如何避免在公共場所被人窺視密碼,已經成為資訊安全所關注的議題。
 
 
在當今行動上網的時代,人人都可以用手機或平板電腦連上網路,隨時隨地取用各種雲端資源。但當你在公共場所,用手機螢幕上的虛擬鍵盤輸入密碼,是否想過您的一舉一動可能都在陌生人的注視之下?要如何避免在公共場所被人窺視密碼,已經成為資訊安全所關注的議題,請聽以下【科學三分鐘】的專題報導:盜取密碼諜對諜。

女:ㄟ,我覺得剛剛那個人怪怪的,他一直靠得很近,一直看我用手機,會不會是在偷看我的帳號密碼?
男:那你要不要趕快換密碼?
女:又要換密碼啊?很難記耶!難怪大家都說要用指紋當密碼……
男:安全第一,趕快換吧。

無論是哪一種網路服務,當有使用者連線的時候,首先要確認使用者的身份,也就是所謂的身份驗證。驗證的方式簡單來說,可分為三大類。第一類簡稱「你知道」,意思是必須輸入「只有你知道」的秘密資訊,像是密碼或安全問題的答案;第二類稱為「你持有」,利用你持有的個人物品,例如 IC 卡或手機「感應一下」來做驗證;第三類叫做「你身為」,甚麼意思呢?就是用身體的生理特徵來驗證,包括指紋、長相、聲音等等。如果使用多種驗證方式,會比只使用一種安全,例如自動提款機需要金融卡與提款密碼,同時包含「你知道」與「你持有」的驗證,就是比較安全的雙重驗證。

在這些驗證方法中,輸入密碼是大家最熟悉、最普遍的方式。目前許多盜取密碼的手段,例如攔截網路封包、植入木馬程式、釣魚網站等,只要使用安全可靠的應用程式,加上使用者有正確的資安觀念,通常都不會是太大的威脅。但隨著行動上網日漸普及,在公共場所,透過螢幕直接輸入密碼的狀況愈來愈普遍,於是出現一種新型的盜取密碼手段,說是「新型」,原理卻很古老,簡單來說——就是偷看。或許是在擁擠的捷運車廂裡,陌生人的目光正越過你的肩膀偷看手機螢幕;也許是在悠閒的咖啡廳中,牆上的監視器正將你的平板畫面和一舉一動都錄影下來。你的密碼,正面臨被有心人士竊取的風險。

為了解決這個問題,資訊安全業者開發了一種稱為「樣式比對」的驗證方法。我們用一個名叫 PINgrid 的服務為例。使用者會在登入畫面上看到一個 6 × 6 的方格,每個格子裡隨機填了從 0 到 5 的數字。使用者事先設定好自己的「樣式」,比方說是方格的四個角落,那他就依序選出四個角落的數字,作為密碼來輸入。每次登入時方格裡的數字排列不同,因此輸入的數字也都會改變。這時候,即使有人偷窺到輸入的數字,他也沒辦法立刻推算出,使用者設定的樣式順序是什麼,換句話說就是猜不到密碼。透過這樣的技術,就可以降低因為偷窺而使密碼外洩的可能性。

除了以上觀念,本單元科學顧問長庚大學資管系廖耕億教授也建議,如果您使用「樣式比對」的驗證密碼,最好不要用手指比對密碼位置,以免他人窺探。最後提醒您,在公共場合輸入一般密碼時,最好稍微遮掩一下,還是可以提升一些安全性的。

今天的科學關鍵字,就是

樣式比對驗證 pattern based authentication

您可以透過關鍵字,進一步查詢或做延伸閱讀。

【本單元由科技部補助製播】2014-04-06 16:55:00播出
推薦文章