Pages

Thursday, 25 April 2013

《WIRED》記者受「駭」啟示錄(下)- 「真實身分驗證」是唯一安全途徑

Matthew Prince為了以寄送到手機的第二道密碼保護他的Google Apps帳號,結果手機帳戶也遭攻破。Photo: Ethan Hill

 

密碼讓企業安全系統形同虛設

許多重金投資的密碼保全系統同樣不堪一擊,例如在去年春天,駭客闖入安全公司RSA的系統,偷走與SecurID有關的資料。

這套裝置原本應該產生搭配密碼的第二道編碼,防止駭客入侵,RSA從未說明外流資料的確切內容。但外界普遍認為,駭客掌握的資料足以複製編碼系統,若駭客也摸透裝置識別機制,美國企業再安全的系統也形同虛設。

Google時常向消費者宣傳,該公司針對Gmail服務設計的雙層認證系統多麼神奇,首先用戶必須與Google確認個人手機號碼,之後只要試圖透過陌生IP位址登入,該公司就會傳送另一組密碼至手機,做為第二層防護功能。

此舉能否提高帳號安全程度?當然可以,各位若使用Gmail服務,請立刻開啟這項功能;至於這套系統能否避免密碼制度完全失靈,得先向各位介紹普林斯(Matthew Prince)的遭遇。

普林斯為網路表現與安全公司CloudFlare的執行長,去年夏天,UGNazi決定攻擊他,希望闖入他的Google Apps帳號,但遭到雙層認證系統阻擋,於是他們將攻擊目標轉向普林斯的AT&T手機帳號。

而AT&T預設社會安全碼作為手機密碼,只要提供業者九位數字(甚至只要末四碼),再加上姓名、電話號碼、帳單地址,任何人都可在電信公司系統內,為任何帳號增設一組轉寄電話號碼。

今日要取得某人的社會安全碼輕而易舉,網路上隨時都有人在公開兜售,而且資料庫出奇完整。

攻擊普林斯的駭客利用社會安全碼,在他的AT&T服務上增加轉寄電話號碼,再向Google要求重設密碼,故手機訊息會直接轉寄到他們手中。Google帳戶就此淪陷,要破解雙層認證系統,只是增加一個步驟與少許成本。

填補安全漏洞,得從改革密碼系統做起

我們沿用這個過時系統的時間愈長,愈多社會安全碼外流,愈多帳號密碼組合公諸於世,將愈多個人生活上傳至網路上,駭客得手的速度就會愈快。

密碼時代已經告終,也還沒有人知道該拿什麼取代。只能確定存取資料已不能再仰賴一串英數字符碼、十串符碼、回答50項問題,網路世界沒有秘密,搜尋或點擊幾次,即可得知一切。

新系統將仰賴個人身分與行為、個人去處與時間點、個人資產等,每個重要帳號需要多項資訊認證,光是一、兩項絕不足夠。這一點格外重要,也正是Google雙層認證系統優越之處。

但該公司執行顯然不夠徹底,雙層認證是最起碼的標準。例如,各位走在路上,若覺得某位男子可能是朋友,不會要求他拿出身分證明,而是會觀察各種跡象,換了新髮型?那是他常穿的外套嗎?聲音聽起來是否相同?這是他會出現的場合嗎?若多數答案皆不符合,身分證件也沒有說服力,縱然照片看來無誤,你也會覺得是偽造。

這也是未來網路身分認證的趨勢,密碼可能也包含在其中,就像上述範例裡的身分證件,但整套系統無法再以密碼為基礎,一如個人識別系統亦不再以附照片證件為準。密碼未來將是多層流程的一環,格蘭特稱之為「身分生態系統」。

生物辨識系統,冷門又一成不變的密碼發明

至於生物辨識系統,看過諸多電影後,許多人認為,指紋或虹膜能取代過去密碼的功能,建立單層解決方案與即時驗證制度。可是這兩項機制都有兩種問題,第一,相關基礎建設並不存在,因為指紋與虹膜系統又貴又麻煩,所以沒有人使用,又因為沒有人使用,所以沒有機會改良或壓低價格,這種雞生蛋、蛋生雞的邏輯,時常扼殺新科技發展。

第二項問題更大,也是任何單層驗證系統的弱點,指紋或虹膜掃描均為單一資料,就可能遭竊。Google安全團隊軟體工程師巴方茲(Dirk Balfanz)指出,密碼與金鑰還能更換,但生物辨識卻一生不變。

他開玩笑地表示,「若在辨識板上的指紋遭人盜走,我很難換一隻新手指」。雖然虹膜掃描在電影裡看似酷炫,但只要運用高解析度攝影,光是用面部、眼睛、指紋做為單一驗證機制仍危險,只要有人能夠複製,即可輕鬆登入。

這一切距離我們並不遙遠,米尼克(Kevin Mitnick)為知名「社交工程陷阱」專家,曾因駭客案件入獄五年,今日經營網路安全公司,專門破解企業安全系統,再向業主說明有何漏洞。

多層認證防護,犧牲「便利」、「隱私」換安全

近期一家客戶採用語音辨識系統,必須複誦一系列隨機選取的號碼,順序與聲音都得符合才能登入,米尼克於是打電話給客戶,錄下兩人對話內容,設計對方在過程中說出0至9的數字,接著分割錄音檔,以正確順序播放,安全系統就此瓦解。

不過在未來的安全系統中,生物辨識仍將扮演重要角色,各項裝置可能需要通過生物辨識才可使用。Android系統手機已開始採用,蘋果公司也收購行動生物辨識公司AuthenTec,可見iOS系統很可能會跟進。

這些裝置可協助辨認用戶本人,存取電腦或遠端網站時,會認證特定裝置,屆時便可認證個人身分及手持裝置兩項。可是若要從完全陌生的地點登入銀行帳戶,例如奈及利亞首都,可能就得增加幾個步驟,或許必須透過麥克風複誦字詞,以比對聲紋,或許得用手機鏡頭拍攝臉部,再寄送給三位朋友,至少得有一人確認身分無誤,才能繼續使用。

資料供應商將仿效信用卡公司的思維模式,隨時監控使用習慣,以辨別異常情況,才能封鎖可能是舞弊的活動。格蘭特指出,「很多項目都屬於風格分析範疇,供應商將可得知用戶登入地點,以及使用何種作業系統。」

Google已開始朝此方向邁進,不只採用雙層認證系統,更檢查每次登入記錄,對比前次登入的地點、裝置,以及其他該公司不願揭露的判斷依據,若看來有異,就會強迫用戶回答有關帳戶的問題,斯梅特指出,「Google會傳送一則訊息,告知因為已有他人登入,故用戶必須更改密碼」。

對於未來的密碼系統,我們也得瞭解必須犧牲便利或隱私,多層認證系統勢必會稍微犧牲便利程度,因為用戶得通過多項程序,才能存取帳戶內容,不過隱私所受的影響更大,安全系統必須取用地點及習慣等資訊,甚至還包括個人說話習慣及DNA。

這種犧牲有其必要,也遲早會發生,未來唯一途徑只有真實身分驗證,允許紀錄各項活動與數值,並聯結至真實身分。我們不可能將照片與電子郵件等資料從雲端移回硬碟,我們已是雲端子民,故需要一套系統,善用雲端已知內容,包括你我的身分、聊天對象、去處、行為、資產、面貌、言論、聲音,甚至還包括思維。

這項轉變需要高額投資,會造成不便,也可能令注重隱私者感到憂心,聽來可怕,但若不改變,會出現更多混亂與竊案,也會有更多假冒朋友傳來的訊息。

時代已經變遷,我們已將一切交給瑕疵系統,只能先面對現實,才努力修正。



from WIRED.tw http://wired.tw/2013/04/25/ff-mat-honan-password-hacker3/index.html