Category 文章

LYDSEC 正式加入 FIDO 聯盟 !

FIDO台灣分會成立 推動國際通用身分識別標準 有鑑於台灣的科技應用發展在全球的強勢地位,國際標準組織FIDO聯盟(FIDO Alliance)即將於6月宣布成立「台灣分會」(FIDO Taiwan Regional Engagement Forum),屆時將由海內外FIDO會員共同加入,開啟台灣連結國際、與全球身分識別標準同步的新紀元。 FIDO聯盟於2012年成立,致力於結合公開金鑰、生物特徵等技術,提供便利且安全的網路身分識別機制,並依此建立產業標準。會員包括如Google、微軟、蘋果、VISA、MasterCard、神盾等各產業翹楚。FIDO以免密碼登入為主要訴求,所發布的標準(U2F、UAF、FIDO2)是一個跨載具(手機/電腦內建、USB裝置、晶片卡等)及跨應用領域的線上身分識別標準,廣泛適用於全球各行各業身分識別應用,全球通過FIDO認證的產品已逾700項。 由於FIDO身分識別的應用受多國政府重視與導入,歐盟國家如捷克、英國、美國等均建置G2C的身分識別服務;台灣也跟上國際腳步,內政部於2年前開發建置TW FidO臺灣行動身分識別,已有數萬人註冊使用,多項政府服務新增支援。此外,廠商服務及產品應用如Google、微軟,都強化網路服務登入安全。隨著更多雲端服務大廠陸續建置FIDO,未來將更常出現在辦公場景與生活周遭;產品業者現也正為強化身分安全,提供兼顧使用體驗與安全的線上登入。與支付產業標準結合,也將成為台灣的重點發展項目。 FIDO聯盟非常重視甫於2021年加入成為政府會員(Government Member)的台灣,特訂在6月23日於台北大直維多麗亞酒店,舉辦「Taipei FIDO Symposium 2021國際研討會」。除了現場演說,也將同步連線各國專家,就身分識別的政策、技術、國際發展現況及未來趨勢,與國人分享。精彩議程如:美國NIST說明最新Digital Identity Guideline SP 800-63、歐盟的政府身分認證應用、FIDO聯盟最新發表的物聯網裝置標準FIDO Device Onboard,以及來自亞太各國的應用案例與最新動態等,精彩可期。 FIDO聯盟是一個國際標準制定組織,為生物辨識制定技術協定與認證規範,讓各種連網服務能更快更安全的以生物驗證的方式辨識使用者身份而不再需要輸入密碼。目前,FIDO推出兩種技術規格:通用認證框架 (Universal Authentication Framework, UAF) 用於不需輸入密碼的認證協定,如生物識別技術;通用第二因素(Universal Second Framework, U2F)則用於雙重認證系統,藉以提升網路應用程式和其他服務的安全性。LYDSEC 期望採用這些認證技術以解決許多網路安全及隱私問題如:網路釣魚攻擊、帳號盜用、未經授權之使用、自現有之密碼認證系統盜取密碼等。 FIDO聯盟(Fast Identity Online Alliance)正式成立於2012年,由將近250家企業共同組成,參與的企業橫跨網路服務公司、解決方案供應商、財務金融機構、信用卡發行公司、通訊服務供應商等各種產業,目前董事會成員包括:Google、Microsoft、Intel、ARM、及NTT DOCOMO等企業。FIDO聯盟持續推廣生物辨識,讓這個技術更普遍、更廣泛互通,也持續為技術協定提升安全性。為全球資訊網制定主要標準規範的「全球資訊網協會(World Wide Web Consortium,…

新世代身份認證思維:多因素、持續性驗證、用戶決定

  網路攻擊案件層出不窮,從跨國企業到果菜市場,金融產業至傳統製造業,都可能是攻擊目標。愈來愈多攻擊手法,利用竊取用戶端身份登入網路應用服務層,僅帳號、密碼防護遠遠不夠,甚至3DS(3D Secure)驗證流程也遭破解。   來毅數位科技總經理林欣怡於資安人舉辦的「2021亞太資安論壇暨展會」中指出,不論企業與網路服務在資安上,需做到「零信任模式」,與持續驗證目前環境、狀態安全性等基本要素。新世代身份認證新思維是多因素(Multi-Factor Authentication, MFA)、持續性驗證,驗證方式也應交由用戶決定。 林欣怡說,許多企業使用的雙因素(2FA)身份驗證,包含用戶知道的帳戶與密碼,圖形鎖與手勢等,所謂「你知道的」(What you know)部分,及利用USB Key、OTP產生器產生一次性驗證碼,填入網頁中再次驗證身份,即「你有什麼」(What you have)。 近年來大家談論多因素身份認證,除上述兩項外,還增加「你是誰」(Who you are)生物辨識機制,如臉部、聲音與指紋辨識,與「你做了什麼」(What you do)的行為分析,如用戶所在地理位置、網路行為、擊鍵模式等,辨認使用者是否為本人。 多因素驗證≠多重驗證 「多因素(multi-factors)驗證,並不等於多重(multi-steps)驗證」林欣怡強調,多重驗證是分不同步驟,用不同方式一步步破解,「就像為防止小偷,房屋周圍先加上圍籬,圍籬上再通電。小偷通過圍籬後還要破解門鎖,全部通過後才能入內。」 多因子驗證,「則好比要解開一道上面有很多開關的門鎖,必需在一個動作中,同時打開所有開關才能進入」。 林欣怡說,多重驗證需利用不同方式通過層層關卡,但多因子驗證只需一個動作,但同時有很多方法進行驗證。 例如驗證使用者網路行為,「包含使用者刷卡金額、是否常用同一種裝置、是否在經常去的地理位置、時間、消費金額、品項等,用不同的因素去分析,確認是使用者本人」林欣怡說,這些問題都會一次性判定完成。 相關文章: 網路身分認證安全機制,翻轉過去的思維 「多重驗證的安全性沒有多因素驗證高」她說,多重驗證是「一層層如何防護、破解,駭客都知道」,而多因素驗證模式為系統背後運作,駭客不得而知。因此,各界建議「多因素身份認證」模式較佳。 不僅如此,林欣怡認為,資訊安全應由客戶與廠商共同營造,驗證方式交由客戶決定,用戶也要有自覺,願意配合把關,才能創造安全環境。 文章出處:

國產資安能量加持 企業遠距辦公風險無虞

2020年上半,對所有企業來說,無疑是驚喜交加的時期,驚的是在疫情影響下,使經濟活動節奏為之失序,但喜的是藉由數位工具、甚至結合雲端服務,在傳統工作型態難以為繼時,仍可透過遠距辦公模式,維持員工生產力、商務溝通,確保業務營運無中斷之虞,反倒加快企業數位化進程。 不少企業認為,即使疫情過後,遠距工作仍將成為常態;但對於遠距作業下潛在資安破口,卻未必有所警覺。為此,新興資安產業生態系推動計畫的「SECPAAS資安整合服務平台」透過技術輔導、供需媒合,積極聚集臺灣資安原廠提供適當解決方案,幫助企業做好資安布局、從容因應工作型態轉變。 藉由主動防禦,補強遠距資安罩門 針對遠距工作的風險考量,全景軟體總經理楊文和歸納幾個重點,首先僅憑藉傳統帳號密碼的認證登入方式,恐因安全度不足而遭破解;其次遠端連線多未建立於加密通道,易導致資料失竊;再者員工家中電腦的防護措施未盡周詳,易感染惡意程式,將毒害擴散到公司內部;最後假使居家上班的員工行為失當,可能造成公司機敏資訊外洩。 來毅數位科技總經理林欣怡補充,過去員工在公司內辦公,企業能輕易設立版本控制、程式掃描等管理措施,例如什麼職務的人面對何等資料,該賦予哪些存取、開發權限,皆有明確規範;但企業設計這些機制時,多未想到有朝一日必須適用居家辦公情境,如今鞭長莫及、可能衍生破口。 匯智安全總經理鄭嘉信則指出,遠距工作的資安風險過去就存在,只是隨著疫情驅使此作業型態成為必然,讓既有問題擴大,甚至因新工具的導入,額外製造新風險。唯今之計,企業不能單純冀望以防毒防駭等「被動性防禦」手段來明哲保身,必須採取強身份認證、資料加密等「主動性防禦」措施;而廠商的責任,便是努力提供更易使用、CP值更高的主動式防禦方案,使金字塔中下層的廣大企業,都受到完善保護。 眾廠各展所長,催生一系列強認證方案 針對主動性防禦議題,臺灣資安廠商憑藉獨具特色的技術優勢,分別孕育高值化的防護產品,讓企業從防毒防駭角度填補外牆漏洞之餘,更能化被動為主動實現強身份認證,牢牢守護企業進出門戶。 有鑑於帳密登入認證方式之不足,全景軟體悉心打造ID Expert身份認證系統整合式認證平台,使企業能依據不同人員存取不同系統的權限做出區隔,從而針對不同群組採取OTP(One-Time Password)、推播、生物辨識等多元認證模式,提升身份驗證強度,化解帳密失竊危機。值得一提,ID Expert支援SAML認證協定,企業員工可藉助ID Expert頁面、直接登入同樣採用SAML協議的眾多雲端服務,例如Office365,取代早先AD帳密輸入,進一步消除帳密失竊風險。 此外為避免員工居家上班時將機敏資料載入隨身碟、衍生機密外洩疑慮,全景另提供uSAFE隨身碟管控系統,使員工即使人在家中,也無法將企業資料置入未經認可的 USB。 在強化主機加解密效能、提高安全強度方面,匯智安全致力發展全系列硬體安全模組(hardware security module;HSM),主要分為三大項。第一是適用於伺服器或NAS 的硬體加密模組,其次是USB形式的認證Token,包含KvKey、KvKey+兩款產品,它們不僅有效保存密鑰,且搭配特殊專利技術,可偵測手勢狀態,輕易驗證當下操作者是否為合法用戶;至於強度更高的KvKey+,則內建高效加解密引擎,協助用戶執行以硬體加密為基礎的視訊會議應用、檔案加解密作業。 匯智安全另發展Micro SD型式的Token,為手機端提供高速加解密服務,且上面的儲存媒體完全加密,就算裝置不慎遺失,也不需擔心箇中機敏資訊洩露予外人。打破遠距工作的界限,包含板端、手機、桌面、筆記型電腦、伺服器乃至雲端,皆在該公司全系列產品的保護範圍之列。 PKI的建置對於中小企業資安防護,一來要價不親民,二來不匹配現今行動化服務趨勢,因此鮮少被廣大的中小企業採用。為此,來毅數位科技發展「成本可負擔」、「導入不複雜」的純軟體強認證產品,能以手機、平板或筆記型電腦取代Token,惟個人裝置並不存放Credential,而是扮演Slave角色,連結認證伺服器的風險管理引擎,據此驗證是否為授權裝置及地理位置,並驗證裝置是否經JB或Root,一切無誤才准予登入,頗適合遠距工作情境。 此外來毅憑藉PKI專利技術,藉由使用者設定的PIN碼,結合授權裝置的特徵值、原始私鑰,由集結三項元素重新產生一組私鑰,新私鑰拆分二半,僅放一半在設備端,用戶PIN碼不存在於任何地方。就算有心人士盜取裝置,也無從獲得正確私鑰,自然無法登入成功,可大幅增進認證強度,適合網銀交易等高敏感應用場景。來毅另發展特殊的「近場認證」模式,使用者利用其Keypasco軟體,可綁定多個設備構成一組驗證主題,保證駭客百攻不破、無功而返。 總括而論,經由本土資安原廠的技術創新,已成功打造一系列高性價比強認證方案,使得非屬金字塔頂端的企業,能靠著合理預算建立主動式防禦機制,無後顧之憂地支持數位化、行動化工作的新常態。(吳冠儀整理報導)(經濟部工業局廣告) 報導來源(digitimes)

來毅瞄準資安商機 網路帳戶 加上防盜鎖

成立於2012年的來毅數位科技,是執行長林政毅與總經理林欣怡夫妻檔攜手創辦,主要產品為多因素網路身分認證解決方案,目前產品已賣到全球16個國家,18個全球經銷合作夥伴,全球每個月活躍用戶數超過250萬,產品深入歐美、亞洲及中東等地。 來毅客戶包羅萬象,包括銀行、政府、不動產,遊戲、健康醫療等,只要想到的產業都有,因為在網路時代,網路身分認證已成為網路基礎建設的一環,等於是汽車的標配,尤其許多從科技公司離職的人,喜歡把公司內部東西帶出去,導致公司營業祕密外洩,也因此,像過去不是來毅鎖定的大型科技公司或零售業等客戶,紛紛主動上門,尋求更安全的多因素網路認證解決方案。 現在網路上充斥各種金融交易,例如網路銀行、證券交易、線上購物等,或是社群交友、線上遊戲等使用人數不斷增加,導致帳號與密碼遭竊、釣魚等攻擊,個人資料外洩事件層出不窮,並造成重大的金錢損失,使網路多因素認證非常重要。 林政毅表示,來毅產品應用很廣,但早期一開始就找最難的銀行業切入,只要銀行認可,所有產業都可以認可,現在華南、玉山、台新等銀行都是來毅客戶。 傳統上的網路身分認證,都常只有使用者名稱(user name)或ID與密碼,但是這樣不安全,因此來毅研發很多道安全機制,而且很方便,就是優勢。 事實上,ID與密碼並不安全,很容易被侵入被竊走,而且現在每一個網站的安全性不夠,若是在網路上交易,很容易被竊取資料。現在銀行還加上簡訊OTP服務,提供一次性的密碼,讓網路交易稍微安全一點,但是這仍然不夠安全,因此來毅的解決方案應運而生。 林欣怡說,所謂多因素認證就是要多種認證方式,不僅要看ID與密碼,還要綁定設備(如手機),並確定交易人所在位置,以及結合生物辨識等多重因素。 結合生物辨識 增加保密性 她說,帳號與密碼很容易被偷走,簡訊OTP也是,只要可以上網,就存在不安全的環境因子,現在不論是手機或電腦,中毒頻率高,之前國外有一個案例,消費者使用電腦幫手機充電,結果電腦病毒跑到手機上,把手機的網路銀行帳號偷走,再攔截簡訊OTP,最後偷走7,400萬美元,就可看出簡訊OTP的安全性也很低。 她指出,銀行對網路交易的安全性要求最高,但傳統作法是銀行給客戶一個類似硬體USB的裝置,這個裝置裡面有一個USB Key,當做網路轉帳時,必須插入硬體。或是銀行給客戶的經常性帳戶做約定轉帳,例如企業客戶常有大額交易,每個月交易數百萬元,若是非約定帳戶,轉帳金額一筆不超過5萬元,一天不超過10萬元,是利用金額來控制交易安全性。 現在金管會也要求,就算銀行要使用簡訊OTP,也要有其他安全方案,如認設備,要綁定客戶的手機,只有約定好的客戶手機,才能接收到OTP。 來毅所謂的多因素認證,就是除要有ID與密碼,還要事先與銀行約定,即銀行要求客戶綁定某個設備(如手機),還要透過個人所在的位置,確定拿這支手機是不是約定好的客戶。 她說,因為信用卡盜刷最常發生在網路上,可能某個人在非洲,就把你的卡片盜刷。來毅的產品會確認地理位置,就算駭客把你的帳號密碼與手機都偷走也沒關係,因為駭客也無法使用。 她強調,來毅希望利用非常多的因子做驗證,並確定是你真的在使用此帳戶,而且操作簡單,用戶使用上很方便,手機按一下就好,而安全性遠高於市面資安產品,現在又進一步可以結合生物辨識。 至於要如何確認位置。她說,來毅研發出智慧風險管理引擎,例如經常出現信義區,在信義區交易就沒問題,但若是這1分鐘在信義區,下個小時在美國,這是不可能,智慧風險管理引擎就會顯示警訊。 智慧風險管理 示警使用者 林政毅補充。若是大部分時間在台灣,來毅可以把個人許可放在台灣,若去新加坡,也可適時開放在新加坡做交易,等回到台灣後,新加坡的許可就會關起來。 他說,來毅的解決方案可綁定手機、PC、瀏覽器、穿戴裝置等,除一個裝置外,兩個裝置也可綁在一起,例如把手機與智慧表綁在一起,必須這兩個裝置同時在一起,才能通過身分認證。 例如日本有一家醫院,每當護士在電腦前登錄資料時,一個緊急通知就把護士叫走了,可是資料還在電腦上,來毅因為有近場認證技術,把護士的手機與電腦綁在一起,每當護士靠近電腦,電腦就登入,護士一離開,電腦就登出。來毅不僅可以認一台設備,還可以認兩台以上設備。 林欣怡說,目前已有外部投資人洽談合作,在資金與人才持續到位下,來毅已走過營運谷底,未來前景看好。

來毅看開放銀行…下個新藍海

來毅數位科技執行長林政毅表示,公司在技術與服務都受到許多客戶肯定,這幾年開始有客戶自己打電話到來毅要買多因素行動認證解決方案的產品。可以看出來毅的產品足具競爭力。 林政毅說,來毅目前的產品是做B2BC,以後會做B2C,來毅是小公司,但也是走國際競標的模式,去年在西班牙與一家銀行洽談生意,就遇到IBM,因為現在很多大型公司都往軟體發展,因為硬體式微,過去硬體大廠的生意很好,是因為行動裝置尚未興起,現在網路興起,很多東西都放在網路上,大公司的硬體生意就受到衝擊。 林政毅說,來毅以前做硬體很多年,後來轉做軟體,並把知識轉進到軟體,國際大廠雖然有名氣,但來毅有技術本位,還有彈性與價格優勢,這就是競爭力。 來毅總經理林欣怡說,去年下半年金管會開放open banking(開放銀行),使來毅的產品可以進一步推廣,現在已與幾家銀行在談。例如第三方服務供應商(TSP)是做金融科技新創,TSP對網路安全不熟,因此金管會要求TSP提出自律規範,來毅的解決方案正好是銀行與TSP中間驗證橋樑。 她說,來毅2014年底就推出管帳寶,並代表台灣到海外比賽獲獎,但當時open banking議題還沒開始,銀行對於跨行服務由第三方來做很排斥。現在金管會的規範出來,來毅可做銀行與TSP中間安全的橋樑,這是未來發展方向之一。 現在國外很多案例把身分認證放在網路上,讓有需要的直接下載使用,來毅以後的產品發展,會放在雲端,讓全球客戶下載來用,以後把東西標準化放在雲端,讓大家下載,這是未來另一個發展方向。 由於來毅只做身分認證,可是在資料傳輸過程中也要加密,林欣怡說,會引進全球合作夥伴,如日本的大日本印刷(DNP)有4萬多名員工,DNP有做多對多虛擬加密資料傳輸方案,來毅推廣自家產品時,也會與夥伴合作,搭售夥伴的產品,讓來毅的產品線更豐富完整,並更具競爭力。

帳密一籮筐難解?來毅靠行動認證打進全球16國

網路上充斥各種金融交易,包括網路銀行、證券交易、線上購物,甚至社群交友、線上遊戲使用人數不斷增加,導致帳號與密碼遭竊、個人資料外洩事件層出不窮,來毅數位科技鎖定網路認證利基,提供多因素身分認證解決方案,讓使用者上網更安全。 來毅成立於2012年,是執行長林政毅與總經理林欣怡夫妻檔攜手創辦,林政毅說,來毅的客戶包羅萬象,但早期一開始就找最難的銀行產業切入,現在華南、玉山、台新等銀行都是來毅的客戶。 現在來毅的產品已賣到全球16個國家,18個全球經銷合作夥伴,全球每個月活躍用戶數超過250萬,產品深入歐美、亞洲及中東等地,應用涵蓋銀行、政府、不動產,遊戲、健康醫療等各產業,「只要想到的產業都有,因為在網路時代,網路身分認證已成為網路基礎建設的一環。」林政毅說。 尤其許多從科技公司離職的人,喜歡把公司內部東西帶出去,導致公司營業祕密外洩,也因此,像過去不是來毅鎖定的大型科技公司或零售業等客戶,紛紛主動上門,尋求更安全的多因素網路認證解決方案。 傳統上的網路身分認證,都常只有使用者名稱(user name)或ID與密碼,事實上,ID與密碼並不安全,很容易被侵入被竊走,而且每一個網站的安全性不夠,若是在網路上交易,很容易被竊取資料。現在銀行還加上簡訊OTP服務,提供一次性的密碼,讓網路交易稍微安全一點,但是這仍然不夠安全,因此來毅的解決方案應運而生。 林欣怡進一步分析,所謂多因素認證就是要多種認證方式,不僅要看ID與密碼,還要綁定設備如(手機),並確定交易人所在位置,以及結合生物辨識等多重因素。 她說,帳號與密碼很容易被偷走,簡訊OTP也是,現在不論是手機或電腦,中毒頻率高,之前國外有一個案例,消費者使用電腦幫手機充電,結果電腦病毒跑到手機上,把手機的網路銀行帳號偷走,再攔截簡訊OTP,最後偷走7,400萬美元,就可看出簡訊OTP的安全性也很低。 談起網路認證技術,這對攜手創業的夫妻檔侃侃而談,事實上,創業之前,兩人都不是科技技術背景出身。 林政毅曾做過水利土木,也做過顧問行業,父親是做化工顏料,提供油墨給聯合報、中國時報與國語日報等報社印刷報紙,他也曾經在化工廠做過,後來父親去世,工廠收掉;他也做很多金融併購,金融交易,在因緣際會下,碰到林欣怡的叔叔,因而投入多因素行動認證解決方案的領域。 林欣怡則是在遊戲公司做人力資源,處理人的事情,現在轉做來毅的業務,林政毅則做公司治理與研發。林欣怡說,林政毅的點子很多,跟她的叔叔一樣,兩個人都喜歡想像,都喜歡新東西,雙方一拍即合。 他們夫妻認為,因為硬體不方便,尤其進入行動時代,使用硬體更不可能,未來一定是軟體的時代,因為軟體方便,並用手機等行動裝置就可做身分認證,隨著智慧手機快速普及,二人已看到這樣的趨勢。