2015年3月5日 星期四

線上交易安全嗎?


線上交易安全嗎?
(線上交易安全系列1/4)

By 陳宜誠 Vincent Chen

(這是我於西元1995~1997年發表於『網際空間』雜誌之“CyberMoney” “CyberTech” 專欄,並以《網際理財。海外投資:兼論網路交易安全》,ISBN 957-99499-6-4,由資訊傳真機構於西元1997年9月集結成書出版的幾篇文章。現在回頭再看它們,覺得雖然經過了快二十年了,這些有關線上交易安全的資訊對於網友可能還算有用,所以再PO這些文章在這裡,以跟網友共勉之。)

 

現在網際網路上的全球用戶眾多, 即使其中只有百分之一的人有在上頭做商業的交易行為,這也是個每天要成交超過數億筆的大生意,所以現在在國內外,不管是您聽過或沒聽過的廠商,不管公司或個人,每個人都擠破頭想先進去網際網路卡位再說,即使只是沾到邊也好。網際網路的盛行,也帶動了線上購物交易,以及即時金融服務的發展,而由於提供線上金融服務的成本低廉,收效宏大,歐美銀行業界莫不爭先搶登網際網路。

你可以直接用信用卡(也就是用信用卡上的卡號,持卡人的姓名,以及有效年月)讓您在網際網路上購物。假若你在證券商那兒開了一個戶頭,您也可以透過網際網路來下單做股票交易。那麼,到底這樣的線上交易安全嗎?


如何確保系統的安全性


要回答這個問題,我們必須先了解我們一般是怎樣測量系統的安全性的。 首先,讀者您必須了解,這個世界上並沒有任何系統是可以做到百分之一百絕對安全的。 同時,系統的安全性和使用的方便性通常也是互相衝突的。 而且,由於人類的參與而產生的誤失(Human Factors)也會降低系統的整體安全度,因此只有那些完全不給人使用的系統,才能夠做到所謂「百分之一百的安全」 所以,我們只能做出「相對安全」的系統。

安全控管所使用的辨識方法有很多,但我們為了測量系統的安全性,可以把它們概分為以下的三大類辨識方法。

·                   人類的記憶力(Memory):


密碼,員工編號,兵籍號碼,身分證字號,口令,銀行帳號,開戶人的生日,出生地,母親的娘家姓氏(外國女性婚後冠夫姓是個慣例,所以只有親人才會知道她原先娘家的姓氏),帳戶餘額,戶頭裡還有哪幾種證券,畢業於哪所小學等等,皆屬於此類考驗人類智力及記憶力的檢驗方法。

·                   實質的物體憑證(Token):


鈔票,代幣,印章,存摺,各種卡片(信用卡,簽帳卡,金融卡),各種證件(身分證,識別證,護照,簽證),股票,證券,票據(支票,匯票,本票),號牌,借據等等,皆屬於此類用實際持有某個信物來做檢驗的方法。

·                   與生俱來的生物特徵(Biometrics):


臉孔的外貌,手掌的立體形狀與皮膚的導電性,頭顱的熱感應圖,指尖的指紋,手心的掌紋,手背的血管紋,簽名的式樣,簽名的筆壓變化,語音的聲紋,眼睛曈孔的虹彩紋,視網膜的微血管紋,皆屬於這種利用人人不同、與生俱來、無法仿冒的生物性特徵來進行的檢驗方法。 

簽名成本最低,但正確率最低,仿冒最容易。 聲紋也很容易錄音仿製,能辨識是否是錄音重撥的機器又太昂貴,很難商業話。 用雷射來掃描眼睛虹彩或視網膜的技術,精確度最高,但價格昂貴,而且難以免除是否會造成使用者健康受到傷害的疑慮。 指紋或掌紋是唯一有可能會遺留在犯罪現場的生物特徵,是刑事辦案的重要依據。 但由於指紋及掌紋或臉孔皆屬於2D圖形辨識技術,可取樣的特徵點較少,同時易受油汙、指壓、化妝的影響,以致於影響其商用系統的辨識速度及正確性,現在也有較先進的「3D指形或掌形辨識機」發展出來。

指紋、指形、掌紋或掌形辨識機是現在國內外比較風行的生物辨識系統。 國外也將它與自動櫃員機(ATM)結合,用辨識用戶的手指或手掌來取代鍵入個人密碼(PIN)的動作,不但方便而且能巨幅增強利用ATM來作存提匯款動作的安全防偽措施。 國內也有銀行將它們與保管箱系統結合,一舉改善以往煩瑣且不安全的印章、簽名、身份證、行員鑰匙、用戶鑰匙的層層核對的措施,讓用戶能更方便且更安全的去使用他的保管箱。當然還有用它們來做員工考勤上班打卡之用。

證件上的相片雖然也是記錄人的臉孔外貌,但由於與本人的外貌常有差距,又極易偽冒造假,所以除非是直接用電腦來做人類五官特徵的辨識,外貌的記錄(相片或寫真)一般是不被歸類為此類生物特徵的辨識方法,而被歸類為依靠實質憑證的防偽措施。


生活中的實例


要能享受開放式網路環境所帶來之便利,又能確保資訊的私密性、完整性以及可用性,就必須儘早規劃並構建完整的電腦網路安全系統。 而安全防護,如前所述,是不可能做到百分之百完全零漏洞的。 只要安全控管的措施能使非法侵入者所需花費的成本,遠超過其在竊取資料後所能獲得的價值,我們即可算這個安全控管系統是符合我們安全需求的系統。

一個系統若要被歸類為所謂比較安全的系統,單用一類檢驗方法是不可靠的。 一個系統的安全性也是環環相扣,互相影響的。 系統若採用了多重的安全措施,它的整體安全性就取決於最弱的那一環。 

根據國外安全機構的長期研究顯示,任何辨識系統,假若要做到最基本的「身分確認」、「存取管制」、及「防偽保密」的安全性,就必須在以上所列的三類檢驗方法裡,至少同時使用到其中的兩種辨識方法,才會比較沒有安全上的漏洞,也能巨幅減少被冒用或混入的可能性,才夠格能被稱為比較安全的系統。 以此簡易的分類方式,我們就可以很快的推斷出來某個系統的安全性是高還是低。 我們試舉幾個生活中的例子來作說明。

·                   查哨所用的口令


不管是幾問幾答,由於只用了一種檢驗方法(記憶力),所以是不安全的。 有心人士只要聽過幾次問答的過程,配合適當的穿著舉止,就能成功的假冒查哨的軍官。 所以衛兵應該還要加上盤查或比對臉孔是否跟記憶相符(你該不會不認得自己連上的長官吧?)等措施。

·                   登入電腦系統所用的密碼


由於只用了一種檢驗方法(記憶力),不管你的密碼用了多長的一個字串,它基本上就是個不安全的設計。 破解密碼的方法有很多種,最粗魯的是直接偷看,再來是在維修系統時取得,也有人做個小程式趁機常駐在系統裡來監視鍵盤的輸入,有人用網路連線過來偷瞧,有人做個模擬的主機介面好騙你輸入密碼,有人乾脆設個站台,號稱能免費或低價提供一些好東東,來收集他人的帳號和密碼(人的記憶力有限,大部份的人都是一個密碼走天下的),最高級的就是寫個程式來破解密碼了。

·                   身份證與識別證


它只使用了一類檢驗方法(識別證本身,衛兵或警察再將上面的相片和持有人的臉孔做肉眼的比對),所以是比較不安全的系統。 證件本身雖然有各種防偽措施,但假若沒有衛兵或警察拿它來與你的臉孔比對,或者照片與本人實在不像,或者未能很方便的察覺相片本身或證件本身是偽造或假冒的話,這也是不安全的設計。 通常若要用在安全等級要求較高的地方,至少還要加上盤查、問口令、輸入密碼等查驗是否是真正的持有人的保防措施,或以先進的掌型辨識機來做嚴格的防偽與管制。

·                   證券與支票


對於支票,國外使用了兩類檢驗方法(支票本身有防偽措施和開票人的親筆簽名),所以是比較安全的。 國內以前使用的是同類的兩種檢驗方法(支票本身和印章),而且國內對於有價證券的印製一點也不講究,用彩色照相製版或直接複印就能亂真了,尤其在電腦刻印流行後,照本新刻一個印章更是相當簡單的事,所以國內的支票是比較不安全的設計。 現在至少還要加上防偽油墨和親筆簽名,才能達到基本的安全性的要求。 而證券部份,最好能跟國外一樣的直接發行無實體的證券,用帳戶內的數字來代表,就不會有這些困擾了。

·                   提款卡與金融卡


提款時,使用的是提款卡本身(實質憑證)和持有人的個人識別碼PIN(personal Identification Number)(記憶力),由於使用了兩類檢驗方法,所以是比較安全的設計。 國內幾年以前竟然是把這個PIN密碼,以明碼方式記錄在卡上的磁條裡,這當然是個不安全的設計,後來被某人複製提款卡盜領後,才跟國外一樣的加上亂碼的保護,恢復成比較安全的設計。

·                   網際網路上用信用卡購物


現在您就可以到商店設的網路站台那兒去瀏覽目錄,鍵入您的信用卡卡號與姓名等,然後就可以經由網際網路來購買商品。 這樣交易的缺點每個人都看得到,無法使用前一節所述的任何一種辨識措施。 首先商家無法辨識你是否真的是卡片的持有人,也無法辨識親筆簽名,同時商家本身的可靠性也無法確認,金額易被竄改,這些鍵入的資料很容易被竊取,冒用,散佈,或當作郵購目錄來販賣等等。

現在就有人想方法設立所謂買賣雙方之間的公正第三人的認證中心(CA: Certificate Authority),來解決這個雙方之間的信用(Credit)認證問題。 也有人推出各種可透過網路確認的實質憑證(Token),以取代原先信用卡的設計。 更有人在電腦上或電話機上加入各種生物辨識裝置(Biometrics Recognition Device),例如掌形辨識機,頭形辨識機,指紋辨識機,虹彩辨識機,聲紋辨識機等,以一舉突破利用網際網路來購物的安全性,並加強其使用上的便利性。 我們稍後的章節會用較大的篇幅來探討如何防治這個漏洞。