你曾經細數,自己正在使用、甚至很久不用但又很重要的帳號密碼,究竟有多少?數位時代最關鍵產物「密碼」,不僅成了現代人最沉重的負擔;不同帳號共用,甚至讓「密碼不再能保密」,還造成資安漏洞?
身為現代重度依賴科技產品的使用者,你曾經細數,自己所正在使用、甚至很久不用但又很重要的帳號密碼,究竟有多少?
密碼是保護數位科技時代,每一個資訊設備、系統及服務使用者的隱私與資安的傳統方法。但是過多的密碼、頻繁的變更頻率與嚴謹的密碼複雜度要求,也成了多數現代人的沉重負擔。
曾經在中國大連發生過「密碼天戲」,有名大媽2008年投入5萬多元人民幣(約21萬元新台幣)購入一檔股票,出國後帳戶密碼一忘就是13年,好不容易找回了密碼,竟然發現被密碼鎖住的股票市值已經高達500多萬元人民幣(約2160萬元新台幣)。
當然,現代社會發生更多的是「密碼慘劇」。例如因加密貨幣錢包密碼遺忘、或在多個網站共用相同帳密的「密碼受駭者」所產生的經濟損失,已不計其數。更曾有資安科技廠商發布安全警訊,連廁所的智慧馬桶,都可能因設置了方便讓使用者記憶的密碼,而讓駭客輕易入侵,不停重複地沖馬桶,或讓馬桶不斷噴水的窘境。
以密碼作為身分驗證機制時,必須兼具「容易記憶」與「難以猜測」的特性,才能有效防止密碼被有心人士取得,因此密碼複雜度規範要求日趨嚴謹。根據當前常見的密碼複雜度建議可能是:長度不能低於8位、英文字母要有大小寫、具有特殊符號等要求。
這些可以透過技術控制方法限制的密碼複雜度,除了造就許多「合規但不安全」的鍵盤密碼,例如台灣特有的中文注音拼音密碼,或依據鍵盤位置產生的密碼外,更讓民眾難以記憶而不自主地共用自己不同帳號的密碼,反而讓密碼不再保密。
曾在2003年制定上述密碼規則的前NIST專案經理Bill Burr也在近年受訪時承認,目前密碼的規範建議不僅困擾使用者,也搞錯了強化安全性的方向。
因此,既然科技產品、應用不斷進步與推陳出新,但是當傳統的密碼保護機制,從「最愛/主流」成了「最礙/逆流」,不要密碼可以嗎?有取代密碼的良方嗎?這個議題,近年來已經漸漸的從使用者心中的「想要的功能」,轉變為「必要的需求」。
無密碼認證(Passwordless Authentication)技術,也在全球知名資訊科技研究機構Gartner 2022年新興技術和趨勢影響力雷達圖中,唯一被列為一年內應響力極大之技術,更證明其迫切性與重要性。
在2022全球密碼日當天,蘋果、Google和微軟發表聯合聲明,表達將支持FIDO(Fast Identity Online)等聯盟的身分認證方式,將在其網站和產品中加入「無密碼登錄」選項,並希望在一年內於各大平台推出此功能。
根據FIDO聯盟說法,未來將會用生物辨識(指紋/臉部)、SMS認證簡訊取代傳統密碼,同時配合手機等常用的科技設備成為驗證的主體,希望能降低使用者對密碼的高度依賴,與管理眾多帳號密碼的複雜性。對於此項發展,美國網路安全和基礎設施安全局(CISA)也表示支持。
無論無密碼未來如何演進,在未來數位應用愈來愈普及的趨勢下,身分識別的問題將更加重要,而使用者的意識與操作習慣,仍是資安保障的核心。使用者必須跳脫以往僅考量便利性的單一簽入(SSO)巢臼,開始接受不同安全等級服務就應該搭配不同認證機制的作法,並盡到保護自己身分或相關認證裝置(如手機等)的責任。
廠商則應該打造更為安全且兼具便利性之認證機制,雙方才能共同建立溝通與信任的橋梁,營造未來更為應用最豐富且風險可控的數位生態圈。
(本文作者謝昀澤為KPMG安侯建業聯合會計師事務所顧問服務部營運長暨安侯企業管理股份有限公司董事總經理)
