在享受智慧生活應用的場景中，都會有登入後端控制台機制，登入過程進行身分的確認並給予控制的權限後，再依據身分不同賦予不同對應的存取控制權限，其中目的也是為了防止未經授權的存取，進而保護整體裝置的安全與核心運作，因此若沒有有效的身份驗證(Authentication)與存取控制(Access Control)，很容易被惡意程式入侵攻擊，導致隱私外洩服務停擺更嚴重更是基礎設施的癱瘓。

物聯網常見身份驗證機制

透過身分驗證的機制才能進入物聯網裝置進行操控，一般常見的就是登入帳號與密碼的機制，但這也是最薄弱的方法，因為經常會使用弱密碼、或是密碼重複使用等簡單好猜的豬頭密碼，再好一點就是普遍使用的多因子驗證(MFA)機制，這是是一種增強帳戶安全的方法，會要求使用者在登入時除了提供一種驗證方式(如：帳號/密碼)之外，必須還要提供至少兩種不同類型的額外驗證來證明身分，多因子驗證的類別可區分成你知道的(Something you know)、你擁有的(Something you have)、你是誰的(Something you are)，再來是透過憑證與金鑰驗證的數位憑證，上述內容如下圖所示。

存取控制的重要性

存取控制(Access Control)簡單白話的解釋就是用來決定誰可以對哪些資源做什麼事的遊戲規則，用以確保只有經由授權通過的使用者或系統才能做讀取、修改或使用特定的資料、資源及服務，目的也是減少內部的濫用與外部的被入侵的風險，在存取控制上也有四種不同的定義。

• 自主存取控制(DAC)：使用者自行設定存取權限
• 強制存取控制(MAC)：由系統強制定義安全政策
• 角色為基礎的存取控制(RBAC)：依使用者角色賦予權限
• 屬性為基礎的存取控制(ABAC)：依照動態屬性(裝置狀態、位置、時間等)進行控制

再用一個四種不同存取控制來呈現比較彼此的內容與適用的場域。

物聯網安全的第一道防線

身份驗證與存取控制是物聯網安全的第一道防線，無論是智慧生活的應用日常便利，還是工業物聯網的關鍵基礎設施，都必須仰賴有效安全的驗證機制與權限管理來將危害風險降低至最低，但隨著零信任架構(Zero Trust Architecture，ZTA)與無密碼技術如：FIDO2(Fast IDentity Online 2)的成熟漸趨普及，未來物聯網的安全性將更為提升，但使用者自我意識與警覺度還是必須一同提升才是正解啊!!