111年法務部調查局調查人員三等資訊安全實務第三題

三、請說明識別 (identification) 與認證 (authentication) 之差異。另請舉例說明多因子認證中,所知之事、所持之物、與所具之形之意義,並舉例說明一個雙因子認證之作法。(25分)

答:

()識別與認證之差異

1.識別(Identification)

  系統可以瞭解使用者為誰,例如登入網路銀行時,會要求使用者輸入帳號或 ID

  ※參考資料:https://marketing.ares.com.tw/newsletter/2012-02/it1

2.認證(Authentication)

  系統可以確認「登入者」確實是帳戶擁有者本人,最常見而直接的認證方式是要求使用者「輸入密碼」。

  ※參考資料:李中仁-以多因子驗證機制強化身分驗證之安全性.pdf

()多因子認證

1.使用者所知之事(Something the user knows)

  (1)使用者利用所知道的資訊作為憑證。

  (2)包含使用者名稱、PIN 和密碼等字母數字組合、安全提問設計等等。

  (3)實例:

     a.帳密:只有使用者自己知道的帳號及密碼。

     b.安全提問設計:

       填寫一連串問題的答案,若忘記密碼,可以藉由其答案確認個人身份。

2.使用者所持之物(Something the user has)

  (1)任何使用者所持有,實體或虛擬,能用來獲得權限的憑證。

  (2)例如隨身攜帶的員工 ID、臨時發放的入場識別證、電話的 SIM 卡、認證碼產生器和單次密碼,或甚至裝置本身也能是限制存取的工具。

  (3)實例:

     a.電話的SIM卡:

       主要用於儲存用戶身份識別資料、簡訊資料和電話號碼的智慧卡。

     b.動態密碼:

       是指計算機系統或其他數位裝置上只能使用一次的密碼,有效期為只有一次登錄會話或交易。

3.使用者所具之形(Something the user is or does)

  (1)利用使用者的生物特徵作為憑證,這是在虛擬環境下未經紀錄無法獲得的資訊。

  (2)生物驗證的例子包含虹膜掃描語音辨識臉部識別,和指紋等等日漸進步的便捷應用。

  (3)實例:

     a.虹膜掃描:

       以人的虹膜紋理為依據的一種,免接觸和非侵入式的、與眼睛有關的生物識別技術。

     b.語音辨識:利用每個人聲紋不同的特點去進行辨識。

參考資料:

1.https://blog.trendmicro.com.tw/?p=4302

2.https://blogs.technet.microsoft.com/twsecurity/2015/09/07/multi-factor-authenticationmfa/

3.李中仁-以多因子驗證機制強化身分驗證之安全性.pdf

()雙因子認證之作法

ATM 取款,需要使用提款卡 (使用者所持之物) 加上密碼 (使用者所知之事) 的正確組合才能進行交易。

arrow
arrow
    文章標籤
    111年法務部調查局調查人員三等資訊安全實務
    全站熱搜

    jacksaleok 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄