隨興找找最近資訊安全議題的新聞,馬上就跑出「智慧手機被裝木馬程式,個人隱私無處藏」、「青少年只靠操作手冊,突破 ATM 後台」。生活在這世代,科技越來越便利,可是安全感卻越來越低。
通常一般大眾覺得 Facebook、智慧手機、銀行帳號有設定密碼就安全無虞,但那只是防君子不防小人,駭客若真有心,再怎樣也擋不了網路攻擊。其實問題就出在保障個人資料安全的方法,FIDO Alliance(Fast Identity Online)的成立,就是為了提倡更有效率的資料保密措施。
FIDO 是一個開放標準的網路認證機制,使用者可依需求選擇指紋、視網膜掃描等身分鑒別機制,增進資訊安全程度。目前 FIDO 會員包括 Google、Microsoft、美國銀行等機構,同樣為網路安全資訊企業的 Vasco 則是整個組織的新成員。
尤其是在雲端科技與物聯網概念正夯下,更多私人資訊會被放在網路上,讓資安問題更與每個人都切身相關。FIDO 創始成員之一的 Nok Nok Labs 負責人 Ramesh Kesanupalli(以下簡稱 R)在今年初曾與三星合作,為 Galaxy S5 推出的指紋辨識支付方案,建構安全軟體套件。
TechOrange 特地在 Computex 論壇後專訪講者 Ramesh Kesanupalli,接下來他就要談談為什麼資訊安全議題,每個人都該懂。
TechOrange:如果大量的資訊儲存在雲端,我們要如何確認資訊安全?
R:現在很多人在講線上資訊安全,但是其實應該從裝置安全先開始談起,才能確保個人電子郵件、相片、銀行資訊不會被有心人士利用。企業不能只單純販賣產品,而不管顧客的資訊如何儲存,或是不顧安全隱私。
傳統的資安防護是設定一個密碼或是防毒程式就算完成,問題是只要有心,人人都可以得到那串密碼。所以重點是要做好資料防護的授權與認證,確認誰才是真正的資訊授權使用者。如果我可以得到你的資訊,那就代表這個系統的後台防護措施不夠嚴密。
所以 FIDO 要做的,第一是確保用戶的資料儲存在妥善的地方,第二就是確保用戶能夠快速便捷的從系統或裝置取得資訊。普遍用戶在儲存資訊時並沒有經過保密程序,這就會造成潛在安全性問題,讓有心人士得以趁機利用。
TechOrange:在雲端與物聯網影響下,興起個人認證觀念,請問有哪些方式?
R:這端看雲端服務所屬企業如何存取資訊,保障資訊安全也是企業的義務之一。
現在許多品牌都開始注重這項議題,例如穿戴式科技裝置需要個人身分認證後才能使用,Apple 與 Samsung 都開始推出指紋密碼、臉部認證等安全措施。
這也是為何 FIDO 之所以起來的原因,如果只靠一串密碼就想擋駭客,那就想的太天真了。看看 Ebay 先前的用戶資訊被盜事件,就是從密碼被盜錄開始的。
為了要增強用戶隱私與資訊安全,首要目標就是降低密碼,改用更有效率的資訊保護措施。FIDO 與其他同類型的組織,目的就是要提倡資料安全重要性,以及具體的保護資安方法。
TechOrange:FIDO 有什麼具體的方法?
R:FIDO 目前使用包含指紋、臉部、瞳孔、聲紋辨識等方法,這些方式可辨別真正的有資格存取資訊的用戶。如果以上所提的方法真正發揮到一個成熟階段的話,就會大大提昇用戶端的資訊安全。
如此一來,如果我對著某個裝置說:「我是 Ramesh,我要存取某某檔案」,這樣程式才會確認是我本人,而不是某個偷錄我聲音的小偷要盜取資訊。
TechOrange:物聯網也是火紅議題之一,FIDO 對於促進物聯網資料安全性有何看法?
R:物聯網並不是新話題,例如美洲網路串流媒體 NetFlix 就是依照物聯網概念打造。這是另一塊迅速改造現代科技的領域,智慧裝置開始取代生活中多樣的服務。
大眾的生活模式也因此改變,人在辦公室可以利用手機遠距監控家中的家電開關,以後人還沒到家,就可以預先調整家中的暖氣溫度了。
依照這個情況來看,認證機制會變得非常重要。如你所見,如果現在手上有一支 Samsung 的遙控器,基本上每台 Samsung 電視都可以操控,這代表它的安全機制並未對個人用戶做出限制。
如此一來便可以看出認證機制的重要性,你家的電視當然不是每個人都可以來亂轉的。甚至,一位男性愛看的電視頻道,與他老婆、兒子愛看的頻道都不一定會相同。
因此個人認證就成為重點,讓物聯網服務能真正發揮到極致。目前市面上在做的只是開放物聯網服務,FIDO 要的是讓物聯網成為生活概念。
物聯網其實就是讓個人成為生活掌控的重點,你要如何選擇付款方式,你要如何啟動家中洗碗機,由你自己決定。傳統智慧手機、電腦以前只能用來上網查資料,現在則能當成真正的萬能遙控器。
舉個例,在美國如果一對夫妻都要上班,正巧女兒中午想要回家卻沒有鑰匙,那該怎麼辦?透過物聯網,自然輕鬆就可以解決這種無限等門的窘境,父母可以從遠端遙控開門,或是女兒也可以透過電子識別系統自己開門。
TechOrange:你認為未來的網路安全發展挑戰是什麼?
R:這主要可以分成三點來講。資料加密、隱私與身分認證。如果無法落實身分認證系統,那麼之後再怎麼補救也是白搭。
在確認身分認證系統無誤後,資料加密就成為保障隱私安全的關鍵,如果遭受網路攻擊,正確的資料加密能夠保障不會衍生後續問題,特別是 Facebook 這種含有大量個人隱私資訊的企業,資安問題絕對為首要考量。
Source: techorange.com