在弓箭手村的資安修練第 3 天，來到了守護村莊的「真相之門」，這裡的試煉不再只是防守，而是要確保每一個動作都能追蹤、每一筆資料都不外洩、每一個進來的人都是真人不是駭客變的！這三項挑戰分別由三位守門者把關：不可否認性（做了就不能賴）、隱私（個資不能亂飛）、驗證（你是誰我得先確認）。
今天的任務：學會如何讓人「簽了就不能反悔」、資料「藏得住也守得住」、還要「驗得出誰是自己人」。

不可否認性 (Non-repudiation)

• 不可否認性的意思是：做了就不能賴！
• 我們要確保某個人或系統執行了某個動作後，不能事後否認。這對於法律、合約、交易紀錄等非常重要。
• 常見的保護方式有：
  • 實體簽名：像是紙本合約、收據、文件上的親筆簽名。
  • 數位簽章：用加密技術來驗證電子文件的來源與完整性，確保文件沒被改過，也能證明是誰發出的。
  • 生物辨識技術：像是指紋、臉部辨識等，用來確認身份，避免冒用。
• 舉例來說，如果有人簽了合約、發了指令或傳了資料，我們要有辦法證明「這件事真的是他做的」，不能讓他事後說「不是我」。

隱私 (Privacy)

• 隱私是每個人對自己個人資訊的掌控權。這些資訊可能包括姓名、地址、身分證號碼、醫療紀錄、財務資料等等。
• 常見的保護方式有：
  • 加密：把資料變成只有授權者才能解讀的密碼，常用於傳輸或儲存敏感資訊。
  • 存取控制：設定誰可以看、誰可以改資料，像是帳號權限、角色分級等。
  • 合法性與合規性：遵守像是GDPR、台灣個資法等相關法規，確保資料處理合法。
  • 監控與風險管理：持續監控系統與資料使用狀況，並針對風險進行評估應變。
• GDPR（General Data Protection Regulation）
  只要你在歐盟「做生意」或「收集歐盟用戶資料」，不管你是台灣公司、 美國公司還是其他國家，只要涉及歐盟個資，就要遵守 GDPR。
• HIPAA (Health Insurance Portability and Accountability Act)
  美國在 1996 年通過的一項聯邦法律，它的目的是要保護病患的健康資訊隱私與安全，並且規範醫療機構、保險公司、IT 業者等在處理這些資料時的行為。
  保護病患的個人健康資訊（Protected Health Information, PHI）：任何可以識別病患身分的健康相關資料姓名、出生日期、醫療紀錄、帳單記錄、指紋等。

驗證 (Authentication)

• 驗證就是確認你是你，確保系統只讓真正的使用者進來。就像門禁系統一樣，只有符合條件的人才能通過。
• 知識因素(Something You Know)：你知道的東西，你腦袋裡的資訊。
  • Password、PIN
• 擁有因素(Something You Have)：你擁有的東西，你手上有的東西。
  • Token、Smart Card、Cookie
• 生物特徵因素(Something You Are)：你是誰，你的身體特徵或行為模式。
  • 指紋、虹膜、臉部辨識
• 地理因素(Something where)：你在哪裡，根據你的位置來判斷是否合理。
  • 登入的地點是否在平常使用的地區、是否在公司內部網路範圍內
• 單一因素驗證 (Single-Factor Authentication，SFA)
  • 只用一種方式驗證，例如：只輸入密碼。
    • 簡單方便，但風險也高。
• 多重因素驗證(Multi-Factor Authentication，MFA)
  • 結合兩種以上的驗證方式，例如：密碼+指紋或密碼+驗證器。
    • 相對麻煩，但安全性高很多。