【緋色科技】什麼是無密碼登入?可以吃嗎?


(圖片來源: Gianluca Tramontana Blog)

在網路上使用各種服務,無論是email信箱、社群網站或是拍賣平台,一組帳號(使用者名稱)以及密碼往往是識別一位使用者最常見的方法。然而,現在單純只靠密碼作為保全個人資料的手法似乎不再是那麼地安全了。

 

近年來,不時有各大網站傳出資料外洩(data breach)的災情,其中與一般使用者們最為相關的當屬帳號及密碼外流的情況。例如下圖就是透過「Have I been Pwned」這個網站,搜尋緋色過去使用過的一個電子信箱,發現緋色用來註冊這些服務的信箱、IP地址以及密碼等資料曾經外流過的畫面。


▲ 緋色當時使用的裝置資訊、email地址、IP地址、密碼、姓名、使用者名稱都因為這兩起事故而外洩了。

 

如果只是單一一組帳號密碼外洩,那只是小事情,但是事情往往不會那麼簡單:你會為使用同一個電子信箱/帳號名稱的不同網站,使用不同的密碼嗎?對大多數人來說顯然是不會,例如緋色上圖密碼外洩的兩個網站,就是使用同樣一組密碼。

 

如果很幸運地,你所使用的帳號密碼並未曾外洩過,那就代表你的資料是安全的嗎?那也不一定-倘若你使用的密碼太簡單的話,那還是有可能被有心人士直接盜用的。根據網路安全組織SplashData每年所公布的資料顯示,password、123456、qwerty…等都是極為常見的密碼,如果你使用了這些密碼組合,對於有心盜用你帳號資料的人來說可能就跟門戶大開一樣。


▲ 你用的密碼有出現在這份清單上嗎?

 

因此,一旦某個網站發生了資料外洩,代表你所有使用這些密碼註冊的網站,都有被盜用的風險,加上許多使用者也不太使用高強度的密碼,這就是為什麼單單採用密碼作為登入的驗證手段不再是那麼地安全,也是為何現在會提倡採用生物識別驗證(Biometrics authentication)以及多因素驗證(Multi-factors authentication, MFA)原因,下面就讓我們先來談談生物識別驗證。

 

生物識別驗證

主要是以生物體獨一無二的特徵來做為辨別使用者是否為本人,常見辨別方式有臉部、虹膜和指紋,而近期應用最為廣泛的又以臉部辨識以及指紋辨識為主。

 

臉部辨識

現在常用於手機裝置的解鎖,例如Apple公司所推出的Face ID,就是透過手機的前置相機鏡頭來對使用者進行身分驗證。


▲ Face ID應該是許多人最常接觸臉部辨識的管道(Credit by Apple Inc.)

 

指紋辨識

每一個人的指紋可以說是獨一無二且極為不可能重複的(重複機率約為150億分之一),加上指紋辨識技術的進步,現在有越來越多的裝置與應用支援了指紋辨識,除了筆電以及手機以外,也常應用在海關的身分查驗系統上。例如緋色所使用的手機就有指紋辨識功能,搭配有支援指紋辨識功能的app,就能做到無密碼登入。


▲ 緋色所使用的網路銀行app就有支援指紋辨識登入,不用每次都要輸入一大串的網銀密碼

 

虹膜辨識

虹膜在生物識別上的應用雖然目前不若上述兩項來得廣泛,但其比指紋辨識要來得更高的準確率、唯一性、安全性使得虹膜辨識在未來有更多的發展價值。目前較為人所知的用途主要是用在海關的身分查驗系統上。


▲ 如果最近幾年有出過國的話應該對這個東西很眼熟吧 (來源: 自動查驗通關系統改採臉部與指紋同步辨識)

 

另外,對於企業而言,無密碼登入的重要性也日益提高。企業員工因為網路釣魚信件的影響,造成企業內部的重要帳密外洩,導致商業損失一直都是時有耳聞的-如果企業改採用無密碼登入作為內部的驗證手段,除了能夠降低直接遭受網路釣魚、電腦病毒攻擊的風險外,還有幾項節省時間、提升員工工作效率的優點。

因為員工不用再耗費時間輸入帳號密碼,即使只是幾秒鐘,長期下來也能提升企業工作效率;加上以往為了安全,考量,可能會強制要求員工設定高強度的密碼(如:密碼內一定要含有大小寫英文字母甚至標點符號),對於平時沒有照這模式設定其他密碼的員工來說,或多或少會造成使用以及記憶上的不便,連帶也可能導致作業上的效率低落(如:因為忘記是設定哪組密碼而一直登入不了系統)。採用無密碼登入的話就不會再有類似問題產生。

 

所以說,如果你所使用的裝置以及服務有提供生物識別驗證的話,以防萬一還是啟用吧,除了方便使用,也是為自己的個人資料安全多提供一份保障。不過如果沒有的話呢(例如並不是所有人的手機都有指紋辨識功能)?別擔心,現在更多的是提供兩階段驗證作為替代方案,這部分就留待下次再來做說明吧!

 

假如喜歡緋色的文章,別忘了按讚粉專、追蹤噗浪、分享文章給同好,你們的支持是緋色繼續創作的動力。
緋色最近剛加入了新的LikeCoin支持功能,歡迎一起加入LikeCoin社群,看完文章後,順手按個讚,幫助緋色的文章能夠讓更多人看見。

You may also like...

說說你的看法吧!

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料