既然有人提到雙因子驗證，不妨來聊一下這種VISA/Master線上輸入密碼的 驗證強弱度問題。 資訊安全裡談身份驗證(Identification Authentication） 有三因子： 1.型一因子(something you know)： 簡單說就是只有你才會知道的東西。密碼、口令這種東西都屬於之。 2.型二因子(something you have)： 簡單說就是只有你才會有，別人不會有的東西。像是身份證，金融卡這種東西。 3.型三因子(something you are)： 簡單說就是你的特徵。例如：指紋、視網膜。 至於哪一種因子強度最強，其實到目前為止都沒有一個定論。且每一種因子驗證 方法亦會影響其安全性。（例如前面有人提到的OTP動態密碼當然相對比靜態密 碼安全） 因此嚴謹的驗證至少都要採取雙因子驗證(Two-factor authentication) 就是至少要包含上面三種因子的兩種以上稱之。 舉例來說，我們去銀行ATM領錢，金融卡（只有你有）+提款PIN（只有你知道）就是 一個嚴謹的身份驗證過程。 （請不要去和我講什麼身份證可能遺失，金融卡可能借給人家用，信用卡可能會掉… 這些都不是正常情況的使用方式，因為在「理論上」，這些東西都是屬於你個人該 保管好，也是只有你個人才能使用的東西） OK…進入正題。以我個人觀點來看這種驗證機制到底符不符合雙因子驗證。 我個人認為是勉強可以算雙因子，但強度不純。 驗證方式應該屬於「信用卡（的卡號）」（只有你有）+密碼（只有你知道）來完成 這個過程。 但問題點就在於信用卡卡號不若現實中的身份證，就是真的只有那一份。 隨便搜尋一下也知道網路上可以找出一堆信用卡卡號產生機（只是產生出來的能 不能通過銀行授權刷卡又是另一回事） 因此雙因子驗證的這部份個人覺得就是有問題的了。既然信用卡卡號雖然理論上 是只有你才知道，但實務上又不是這麼pure的東西。（相較之下，金融卡的晶片 機制和身份證的防偽措施反而相當可靠） 但話又說回來，網路上刷卡真的這麼恐怖嗎？依據統計卡會被盜刷，百分之九十 都不是出現在資料傳送的過程，而是發生在人為故意行為（例如是傳送到商店， 給不肖店員記錄卡號），以目前的技術而言，消費者倒無須太過擔心這一塊。 （當然，這部份見仁見智，但至少以我認知是這樣認為。這種情況很像很多人家 中築了超高的圍牆，超先進的保全設備，但真實例子中卻告訴我們，發生問題都 不是在你擔心的外賊，而是內部的人。） 老話一句：怕者不用；用者不怕。 -- 一片金融風暴中，銀行哀鴻遍野，所幸有國內公務員提出因應之道： --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.62.4.21