iT邦幫忙

0

網路交易安全機制中 PKI 與OTP(one time password)機制的優缺點及差異為何?能互相取代嗎?

iav803 2008-12-14 23:34:5415207 瀏覽

網路交易安全機制中 PKI 與OTP(one time password)機制的優缺點及差異為何?能互相取代嗎?

1 個回答

21
Lambert
iT邦新手 4 級 ‧ 2008-12-15 11:22:32
最佳解答

PKI 與 OTP 都是強化認證 (Strong Authentication) 或雙因素認證(2-Factor Authentication) 的一種應用。因為單純依賴帳號與密碼非常的薄弱,容易被側錄或竊取。

下面是身分認證的三種型態:

  • What you know (你所知道的資訊,例如帳號、密碼...)
  • What you have (你所擁有的物件,例如金鑰、憑證...)
  • What you are (你本身擁有的屬性,例如指紋、掌形、靜脈、五官特徵...)

在資訊安全中,較安全的身分認證方法一般會要求在上面三種型態中,選擇兩樣的組合來進行驗證,則稱為雙因素認證(2-Factor Authentication)。
而 PKI 或 OTP 的方法,可以說是「What you have」的代表。PKI 又有分軟體檔案式的 PKI Token 或硬體式的 PKI Token。後者硬體式的 Token 相對上是比較安全的。
硬體式的 PKI,如 金融IC卡、自然人憑證(儲存於IC卡中)、USB Token 等都是常見的應用。我們嘗試從下面四個面相來比較 PKI 與 OTP 的優缺點。

安全性 –
OTP tokens 相對 PKI 而言比較不安全。因為 OTP 的本質仍然是以密碼為基礎。相對於 USB 或 SmartCard,本質上完全是「Something you have」,有唯一性,如果憑證被偷的話,是很明確的。

使用方便性 –
OTP tokens 由於需要讀取上面顯示的一次性密碼然後以鍵盤輸入,所以仍然有點麻煩。USB Token 插上即可,是最簡單的。而 SmartCard、IC卡則需要額外的讀卡機,對有些使用者而言不是很熟悉的操作方式。

可攜性 –
OTP 型式的 Token 由於不需要與電腦界接,可以獨立運作,所以可攜性最廣泛。不只用電腦連線時可以使用,使用電話存取網銀也可以用、甚至連 ATM 也可以用。
USB token 體積小攜帶方便,幾乎現代看得到的電腦都支援,但仍然需要界接,有些情況還需要裝驅動程式才能讀取。
Smartcards 需要額外的讀卡機與驅動程式,相對而言比較不便。

應用彈性-
OTP tokens 只能用於認證用途,無法攜帶任何的憑證於其上,所以不容易做到數位簽章、加密與不可否認性等數位憑證的應用。因此 USB Token 以及 SmartCards 可以提供更多的功能選擇。

iav803 iT邦新手 5 級 ‧ 2008-12-15 23:54:47 檢舉

感謝Lambert的熱情專業回覆,讓小弟茅塞頓開,可否再請教一些衍生問題? 亦歡迎其餘專家高人一齊參與討論,再次謝謝大家的協助.

1.使用PKI機制時因token需與PC相連,且金鑰啟動密碼固定,請教您若在輸入金鑰啟動密碼
時,是否有被側錄或被植入木馬的風險?OTP 機制的token作業時,無需與PC相連,且回應的6
位數密碼每次不同且有時效性.是否就無被側錄或被植入木馬的風險?

2.OTP 機制的token本身有啟動密碼嗎? 若無,那拾獲者是否利用該OTP token owner 的交
易權限,即可將交易核可至下一層或是放行送出至銀行? 若無法提供交易來源可辨識性及不
可否認性,OTP機制是否就只能用於認證用途,而無法取代PKI機制除認證外,並可用於交易放
行?金管會會要求電子金融交易於交易放行時,一定要使用PKI機制嗎?

3.PKI機制大多採用RSA非對稱性加解密技術,因此有換KEY及憑證展期問題,而OTP機制大多利
用AES或3DES 對稱性加解密技術,因此無換KEY及憑證展期問題,user也省去了憑證展期時
需支付的費用,若上述無誤,請問OTP機制若無需換KEY及憑證展期,不會有交易風險嗎?

4.PKI機制的token費用較OTP機制的token費用高,且需憑證展期費,似乎OTP機制較具競爭
力,請教目前金融保險業的應用是2者取其一或2者並行?

我要發表回答

立即登入回答