VISA網路驗證 - 信用卡

既然有人提到雙因子驗證，不妨來聊一下這種VISA/Master線上輸入密碼的
驗證強弱度問題。

資訊安全裡談身份驗證(Identification Authentication）
有三因子：

1.型一因子(something you know)：
簡單說就是只有你才會知道的東西。密碼、口令這種東西都屬於之。

2.型二因子(something you have)：
簡單說就是只有你才會有，別人不會有的東西。像是身份證，金融卡這種東西。

3.型三因子(something you are)：
簡單說就是你的特徵。例如：指紋、視網膜。

至於哪一種因子強度最強，其實到目前為止都沒有一個定論。且每一種因子驗證
方法亦會影響其安全性。（例如前面有人提到的OTP動態密碼當然相對比靜態密
碼安全）

因此嚴謹的驗證至少都要採取雙因子驗證(Two-factor authentication)
就是至少要包含上面三種因子的兩種以上稱之。

舉例來說，我們去銀行ATM領錢，金融卡（只有你有）+提款PIN（只有你知道）就是
一個嚴謹的身份驗證過程。

（請不要去和我講什麼身份證可能遺失，金融卡可能借給人家用，信用卡可能會掉…
這些都不是正常情況的使用方式，因為在「理論上」，這些東西都是屬於你個人該
保管好，也是只有你個人才能使用的東西）

OK…進入正題。以我個人觀點來看這種驗證機制到底符不符合雙因子驗證。

我個人認為是勉強可以算雙因子，但強度不純。

驗證方式應該屬於「信用卡（的卡號）」（只有你有）+密碼（只有你知道）來完成
這個過程。

但問題點就在於信用卡卡號不若現實中的身份證，就是真的只有那一份。
隨便搜尋一下也知道網路上可以找出一堆信用卡卡號產生機（只是產生出來的能
不能通過銀行授權刷卡又是另一回事）

因此雙因子驗證的這部份個人覺得就是有問題的了。既然信用卡卡號雖然理論上
是只有你才知道，但實務上又不是這麼pure的東西。（相較之下，金融卡的晶片
機制和身份證的防偽措施反而相當可靠）

但話又說回來，網路上刷卡真的這麼恐怖嗎？依據統計卡會被盜刷，百分之九十
都不是出現在資料傳送的過程，而是發生在人為故意行為（例如是傳送到商店，
給不肖店員記錄卡號），以目前的技術而言，消費者倒無須太過擔心這一塊。

（當然，這部份見仁見智，但至少以我認知是這樣認為。這種情況很像很多人家
中築了超高的圍牆，超先進的保全設備，但真實例子中卻告訴我們，發生問題都
不是在你擔心的外賊，而是內部的人。）

老話一句：怕者不用；用者不怕。



--
一片金融風暴中，銀行哀鴻遍野，所幸有國內公務員提出因應之道：



--