網路攻擊案件層出不窮，從跨國企業到果菜市場，金融產業至傳統製造業，都可能是攻擊目標。愈來愈多攻擊手法，利用竊取用戶端身份登入網路應用服務層，僅帳號、密碼防護遠遠不夠，甚至3DS（3D Secure）驗證流程也遭破解。   來毅數位科技總經理林欣怡於資安人舉辦的「2021亞太資安論壇暨展會」中指出，不論企業與網路服務在資安上，需做到「零信任模式」，與持續驗證目前環境、狀態安全性等基本要素。新世代身份認證新思維是多因素（Multi-Factor Authentication, MFA）、持續性驗證，驗證方式也應交由用戶決定。 林欣怡說，許多企業使用的雙因素（2FA）身份驗證，包含用戶知道的帳戶與密碼，圖形鎖與手勢等，所謂「你知道的」（What you know）部分，及利用USB Key、OTP產生器產生一次性驗證碼，填入網頁中再次驗證身份，即「你有什麼」（What you have）。 近年來大家談論多因素身份認證，除上述兩項外，還增加「你是誰」（Who you are）生物辨識機制，如臉部、聲音與指紋辨識，與「你做了什麼」（What you do）的行為分析，如用戶所在地理位置、網路行為、擊鍵模式等，辨認使用者是否為本人。 多因素驗證≠多重驗證 「多因素（multi-factors）驗證，並不等於多重（multi-steps）驗證」林欣怡強調，多重驗證是分不同步驟，用不同方式一步步破解，「就像為防止小偷，房屋周圍先加上圍籬，圍籬上再通電。小偷通過圍籬後還要破解門鎖，全部通過後才能入內。」 多因子驗證，「則好比要解開一道上面有很多開關的門鎖，必需在一個動作中，同時打開所有開關才能進入」。 林欣怡說，多重驗證需利用不同方式通過層層關卡，但多因子驗證只需一個動作，但同時有很多方法進行驗證。 例如驗證使用者網路行為，「包含使用者刷卡金額、是否常用同一種裝置、是否在經常去的地理位置、時間、消費金額、品項等，用不同的因素去分析，確認是使用者本人」林欣怡說，這些問題都會一次性判定完成。 相關文章: 網路身分認證安全機制，翻轉過去的思維 「多重驗證的安全性沒有多因素驗證高」她說，多重驗證是「一層層如何防護、破解，駭客都知道」，而多因素驗證模式為系統背後運作，駭客不得而知。因此，各界建議「多因素身份認證」模式較佳。 不僅如此，林欣怡認為，資訊安全應由客戶與廠商共同營造，驗證方式交由客戶決定，用戶也要有自覺，願意配合把關，才能創造安全環境。 文章出處：