既然有人提到双因子验证，不妨来聊一下这种VISA/Master线上输入密码的 验证强弱度问题。 资讯安全里谈身份验证(Identification Authentication） 有三因子： 1.型一因子(something you know)： 简单说就是只有你才会知道的东西。密码、口令这种东西都属於之。 2.型二因子(something you have)： 简单说就是只有你才会有，别人不会有的东西。像是身份证，金融卡这种东西。 3.型三因子(something you are)： 简单说就是你的特徵。例如：指纹、视网膜。 至於哪一种因子强度最强，其实到目前为止都没有一个定论。且每一种因子验证 方法亦会影响其安全性。（例如前面有人提到的OTP动态密码当然相对比静态密 码安全） 因此严谨的验证至少都要采取双因子验证(Two-factor authentication) 就是至少要包含上面三种因子的两种以上称之。 举例来说，我们去银行ATM领钱，金融卡（只有你有）+提款PIN（只有你知道）就是 一个严谨的身份验证过程。 （请不要去和我讲什麽身份证可能遗失，金融卡可能借给人家用，信用卡可能会掉… 这些都不是正常情况的使用方式，因为在「理论上」，这些东西都是属於你个人该 保管好，也是只有你个人才能使用的东西） OK…进入正题。以我个人观点来看这种验证机制到底符不符合双因子验证。 我个人认为是勉强可以算双因子，但强度不纯。 验证方式应该属於「信用卡（的卡号）」（只有你有）+密码（只有你知道）来完成 这个过程。 但问题点就在於信用卡卡号不若现实中的身份证，就是真的只有那一份。 随便搜寻一下也知道网路上可以找出一堆信用卡卡号产生机（只是产生出来的能 不能通过银行授权刷卡又是另一回事） 因此双因子验证的这部份个人觉得就是有问题的了。既然信用卡卡号虽然理论上 是只有你才知道，但实务上又不是这麽pure的东西。（相较之下，金融卡的晶片 机制和身份证的防伪措施反而相当可靠） 但话又说回来，网路上刷卡真的这麽恐怖吗？依据统计卡会被盗刷，百分之九十 都不是出现在资料传送的过程，而是发生在人为故意行为（例如是传送到商店， 给不肖店员记录卡号），以目前的技术而言，消费者倒无须太过担心这一块。 （当然，这部份见仁见智，但至少以我认知是这样认为。这种情况很像很多人家 中筑了超高的围墙，超先进的保全设备，但真实例子中却告诉我们，发生问题都 不是在你担心的外贼，而是内部的人。） 老话一句：怕者不用；用者不怕。 -- 一片金融风暴中，银行哀鸿遍野，所幸有国内公务员提出因应之道： --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.62.4.21