國考資訊處理工作室(高考二級資訊處理/高考三級資訊處理/調查局三等/關務人員三等/地方特考三等)

111年法務部調查局調查人員三等資訊安全實務第三題

答：

(一)識別與認證之差異

1.識別(Identification)：

  系統可以瞭解使用者為誰，例如登入網路銀行時，會要求使用者輸入帳號或 ID。

  ※參考資料：https://marketing.ares.com.tw/newsletter/2012-02/it1

2.認證(Authentication)：

  系統可以確認「登入者」確實是帳戶擁有者本人，最常見而直接的認證方式是要求使用者「輸入密碼」。

  ※參考資料：李中仁-以多因子驗證機制強化身分驗證之安全性.pdf

(二)多因子認證

1.使用者所知之事(Something the user knows)：

  (1)使用者利用所知道的資訊作為憑證。

  (2)包含使用者名稱、PIN 和密碼等字母數字組合、安全提問設計等等。

  (3)實例：

     a.帳密：只有使用者自己知道的帳號及密碼。

     b.安全提問設計：

       填寫一連串問題的答案，若忘記密碼，可以藉由其答案確認個人身份。

2.使用者所持之物(Something the user has)：

  (1)任何使用者所持有，實體或虛擬，能用來獲得權限的憑證。

  (2)例如隨身攜帶的員工 ID、臨時發放的入場識別證、電話的 SIM 卡、認證碼產生器和單次密碼，或甚至裝置本身也能是限制存取的工具。

  (3)實例：

     a.電話的SIM卡：

       主要用於儲存用戶身份識別資料、簡訊資料和電話號碼的智慧卡。

     b.動態密碼：

       是指計算機系統或其他數位裝置上只能使用一次的密碼，有效期為只有一次登錄會話或交易。

3.使用者所具之形(Something the user is or does)：

  (1)利用使用者的生物特徵作為憑證，這是在虛擬環境下未經紀錄無法獲得的資訊。

  (2)生物驗證的例子包含虹膜掃描、語音辨識、臉部識別，和指紋等等日漸進步的便捷應用。

  (3)實例：

     a.虹膜掃描：

       以人的虹膜紋理為依據的一種，免接觸和非侵入式的、與眼睛有關的生物識別技術。

     b.語音辨識：利用每個人聲紋不同的特點去進行辨識。

※參考資料：

1.https://blog.trendmicro.com.tw/?p=4302

2.https://blogs.technet.microsoft.com/twsecurity/2015/09/07/multi-factor-authenticationmfa/

3.李中仁-以多因子驗證機制強化身分驗證之安全性.pdf

(三)雙因子認證之作法

從 ATM 取款，需要使用提款卡 (使用者所持之物) 加上密碼 (使用者所知之事) 的正確組合才能進行交易。