跳到主要內容

[科技]透過簡訊執行二次驗證不再安全,美國國家標準技術研究所建議別再使用。


  在臺灣,隨著資安意識擡頭,透過手機簡訊執行進階身分認證,在金融產業中,算是相當普遍的做法。然而,根據美國國家標準技術研究所(National Institute of Standards and Technology,NIST)在2016年的數位身分認證指南(Digital Authentication Guideline)中提到,他們建議企業不要再透過電信系統,包含簡訊和電話語音的方式,執行二次驗證,甚至計畫即將把這種驗證方式,排除在未來的進階身分驗證標準之外。Datablink亞太區行銷副總裁Lawrence Ang認為,企業應考慮透過其他方式執行,若是同樣要透過手機,以App的型式可以提供更加安全的驗證流程。

  Lawrence Ang在2017年資安大會的議程中指出,企業透過手機簡訊提供進階身分驗證使用的一次性密碼(OTP)固然方便,但從2010年首次發現駭客針對行動電話而來的中間人攻擊(Man-In-The-Mobile,MitMo)之後,這種手法便層出不窮。

  美國國家標準技術研究所(NIST)指出,透過手機簡訊取得OTP認證碼不夠安全的因素有2個:一是行動裝置的作業系統容易遭受木馬程式的中間人攻擊,進行控制;另一點則是在電信通訊基礎上,傳送簡訊的安全性受到挑戰。

  最早出現的是Zeus-In-The-Mobile(ZitMo),這是可在Windows Mobile、Android、Symbian,以及BlackBerry平臺中執行,並攔截簡訊中OTP的行動裝置惡意軟體,感染途徑則是藉由已感染Zeus惡意程式的電腦,誘使用戶在行動裝置上安裝。

  另一個同樣是針對手機簡訊而來,也相當有指標性的惡意軟體是SpyEye(另一種說法是SpyEye-In-The-Mobile,因此也有人寫成SPITMO),在2012年時,這個軟體大肆感染超過140萬臺的電腦與行動裝置。同一年,Eurograbber以同樣的攻擊手法,從3萬個企業與個人的銀行帳戶中,總計竊取高達3千6百萬歐元。

  如今,針對Android手機的簡訊攔截,2016年甚至在俄國和巴西等地,已有駭客直接銷售木馬攻擊套件,代表性的惡意攻擊程式是Android.Bankosy。

  Lawrence Ang以Datablink近期推出的行動裝置方案Mobile 110與簡訊加以比較,說明以簡訊OTP驗證的缺點,包括SIM卡片內容容易遭到複製、能夠做為認證的訊息只有文字,而且還不能太長,而手機App(Mobile 110)則可提供較多元且安全的機制,像是透過多項內容的比對的驗證模式,或是推送(Push),使用者需在手機點選才能完成流程等方法。此外,從便利性的角度來看,相較於簡訊必須透過安裝SIM卡的手機,若是採用App執行身分認證,使用者只要在行動裝置上安裝就能使用,不一定要特定的裝置才行。

  他也引用Gartner的數據指出,雖然目前使用手機App的OTP比例還不高,但由於智慧型手機的普及,預估將成為2018年最主要的進階身分認證方式之一。

這個網誌中的熱門文章

[動畫]《航海王》女帝實力多強?一腳把自己從七武海最末,踢進了前三。

  《航海王》中的海賊女帝波雅漢庫克,集實力、美貌與地位為一身的強大女人,前海軍元帥戰國有一句話評價女帝,戰國說「那個女人很強!」   這句話是在頂上戰爭之前,海軍強制召集七武海,女帝終於響應召集的時候,手下傳回總部戰國知道消息後的評價。讓海軍元帥松一口氣,認為是一個很大的援軍或者說戰力,給出這麼高的評價,足以證明女帝的實力!   女帝在頂上戰爭中的表現也是可圈可點的,全程摸魚,抽空就幫路飛……   可是各種特別篇卻無限削弱女帝的實力,女帝在特別篇中的實力可能懸賞都過不了億,單純就是賣賣肉,襯托襯托路飛,讓路飛英雄救美。   特別篇「最強的賞金獵人西德爾」女帝第一集的魅力值和實力都被無限削弱,特別是特別篇的第一集,堂堂七武海竟然淪落到無數次四次落入險境,被路飛搭救,對面只是一幫背著水槍的雜兵,也能抗拒女帝全果的魅力……   本身女帝身為女子之身,也沒有對戰過同等級的強者,再加上特別篇還要拉出來賣肉吸引人氣,所以自然而然很多人就會先入為主的有女帝七武海最弱的想法!   最新劇場版狂熱行動,終於讓女帝火力全開了一次,這才讓觀眾見識到了女帝展現出完整實力有多強……   三番五次的看到路飛被巴雷特打飛,女帝再也忍不了,變身護夫狂魔,實力毫無保留的全開。   而女帝的一腳,成為了影片的亮點,女帝的一腳飛踢,蹬得全身覆蓋了武裝色霸氣龐大身軀的巴雷特殘渣橫飛……   從畫面效果也能看出這一腳威力有多恐怖,如此龐大的巴雷特仿佛被火車撞了一樣。   可惜巴雷特的武裝色霸氣實在太過強大,女帝不能破防,如果沒有武裝色的話,女帝肯定能把巴雷特攔腰踢斷……公公卡普拿山峰練拳法,孫媳婦漢庫克可以拿山峰練腿功。   女帝的實力可以說沒有短板,九蛇的霸氣本就先進,女帝的體術又這麼強大,再配合上與女帝相輔相成的果實能力,你以為女帝是個依靠果實能力的魅惑法師……?其實女帝是個喜歡用體術近戰的暴力分子!   女帝的這一腳,把自己從原本人以為的七武海最末,踢到了七武海靠前的地位。七武海中鷹眼大熊是毫無爭議的前二,這個第三是明哥,還是甚平亦或是女帝,都有可能,誰也排不出來,個人還是覺得女帝可以爭一爭這個第三。至少女帝實力可以排在七武海中上遊了。

[動畫]《一拳超人》第三季動畫的埼玉英雄視覺圖、特報影片、製作團隊和聲優情報公開。

  以 ONE 與村田雄介所創作的超級英雄題材動作漫畫《一拳超人》為原作,第三季電視動畫公開了主角埼玉視覺圖、特報宣傳影片、製作團隊和聲優陣容等情報。   《一拳超人》電視動畫第一季由 MADHOUSE 製作,於 2015 年 10 月開播;第二季改由 J.C.STAFF 製作,於 2019 年 4 月開播。2022 年 8 月宣布動畫第三季製作消息。目前已知第三季店是動畫將與第二季同樣由 J.C.STAFF 擔綱製作。   由 ONE 擔任原作、村田雄介負責作畫的漫畫作品《一拳超人》,描述就職過程中找不到出路的主角「埼玉」,遭遇到要奪走一位少年生命的螃蟹異變人後,回憶起年少年時「想要成為英雄」的想法,於是奮起戰鬥並救下了少年。重拾對於成為英雄的志向後,埼玉苦練了三年、以掉光所有頭髮為代價,化身成毫無弱點的超級英雄,只需一拳便能輕鬆地擊敗怪獸。之後他與弟子傑諾斯一起加入了英雄協會,開始了與眾多英雄對抗各種怪物的生活。

[財經]仁寶大力押寶醫療「賣一台、賺一台」!繼續拚非 PC:目標營收破 6 成

  仁寶電腦於 1 日舉行法說會,2023 年全年度營收為新台幣 9467.15 億元、年減 12%,主要受到 PC 出貨量下降的影響。仁寶總經理翁宗斌表示,上半年因為景氣影響,PC 產業較去年同期下滑,但下半年可以期待 AI PC 的新應用帶動整體 PC 成長,仁寶也預計在今年 6 月出貨 AI PC 相關產品。   仁寶 PC 去年的出貨量為 3,400 萬台,比前一年 3,900 萬台少了 13%,但符合先前提供的全年度的展望。PC 的營收貢獻是 69%、非 PC 是 31%,全年毛利率都較前一年度增加,主要原因為產品組合的持續改善和效率提升。   「今年重點放在產品的獲利毛利率以及轉型:車電、伺服器以及醫療的新產品轉型來提高獲利。 未來希望在 3 年內把 PC 占比降到 40%、非 PC 是 60%。 」翁宗斌說。   關於伺服器和車電市場的發展預估,翁宗斌表示,伺服器營收每年都有 30~40% 的成長,而 AI 伺服器比重相對去年會更高,客戶需求量至少會超過 2 成,「NVIDIA 的架構除了 GPU 之外,也有推出 AI 伺服器,而仁寶也有參與 AI 伺服器需求供應。」   另外在非 PC 新產品的毛利率貢獻中,醫療相關產品的毛利率相對高,「幾乎是賣一台、賺一台」,翁宗斌說。此外,仁寶於 2 月底參與巴塞隆納移動通訊展(MWC),展出衛星物聯網解決方案,主要以地端的接收站為主進行技術開發。   針對全球設廠的布局, 仁寶主要製造基地還是在中國,產能約在 70~80% ,會配合客戶的需求評估在不同的地區設廠。也因此,數位化和自動化管理系統非常重要,可以解決在不同國家需要適應當地文化的問題。   而伺服器的生產於泰國、越南和中國都有製造,外傳戴爾也有計畫去泰國設廠,法人詢問是否仁寶也會跟進,翁宗斌則回應,「看戴爾願意給我們多少單,我們就多幫它生產。」