動態密碼認證機制介紹
什麼是動態密碼?
動態密碼(Dynamic Password)又稱一次性密碼,它指用戶的密碼依照時間或使用次數不斷變化,原則上每個密碼只能使用一次。密碼的產生參照時間(Time-Based)或使用次數(Event-Based)不斷變化,原則上每個密碼只能使用一次,學理運用上又可分為回應式(Response-Only)模式與驗證碼-回應式(Challenge-Response)模式兩種。
動態密碼系統由載具與驗證伺服器組成,動態密碼載具在使用者端顯示密碼,驗證伺服器在企業端驗證密碼是否正確。一般動態密碼載具包含電源、產生密碼的晶片、營幕顯示介面與鍵盤輸入介面(選項),市面上動態密碼載具產品概分為兩種:單一動態密碼產生器(Token)、晶片讀卡機與晶片卡組合。
網路上使用動態密碼最大的優點是,根據網路活動每次產生只能使用一次的密碼。即使駭客或木馬程式攔截到這一次網路活動使用的密碼,也無法應用該密碼到下一次或其他的網路活動,有效的保障使用者網路行為的安全性。實際運用時,有的動態密碼載具產品可配合輸入個人識別碼(PIN)使用,達到雙因數認證(Two Factor Authentication, What You Have & What You Know)的規範。
動態密碼的資訊安全規範:
基本上市面上的動態密碼產品的運算與驗證規範都是由製造業者自行決定,客製化的情形比較少見,惟MasterCard CAP (Chip Authentication Program)與Visa DPA (Dynamic Passcode Authentication)的動態密碼的規範是由國際信用卡發卡組織所規定。
市場動態密碼的運用:
動態密碼常用在網路銀行、線上遊戲、線上拍賣等需要確認使用者身分的情境。
身分認證多元化運用的延伸 – 支付認證:
現在市場上動態密碼載具的使用方式,一般都是由服務廠商(如網路銀行服務) 提供自購的載具給他們的服務對象,動態密碼載具的使用僅限於特定身分認證範疇,無法跨廠商間或一般化大眾推廣使用,例如消費者無法使用C銀行發給的動態密碼載具到H銀行使用,更不能使用此載具在線上購物網站購物。而國際信用卡發卡組織所規定的動態密碼機制經過相應的服務,除了可以提供廠商與使用者間的身分認證需求外,更可將晶片信用卡的動態密碼機制回歸信用卡使用的根本-消費。
