在 之前 的文章中,我曾提到有關密碼的議題。雖然過了一年的時間,密碼依舊是我們每天在大量使用的驗證機制,而且在可見的未來並沒有跡象顯示這樣的情況會有任何轉變。方便性,這是所有其他驗證機制想要取代密碼的最大挑戰。所以雖然我們有個人憑證、Token這類”相當”安全的驗證機制,但是實際應用的系統依舊相當有限。
一家位於波士頓的公司 - Delfigo Security,推出了一項線上驗證的服務,名稱為 DSGateway 。此服務特別之處,在於它在原先的帳號/密碼驗證機制之外加上了其它的要素做為是否通過驗證的條件。當使用者輸入帳號/密碼之後,如果輸入資料正確,則原先的驗證伺服器可以將額外的資訊傳送到 Delfigo 的伺服器做進一步的判斷。這些額外資訊包含打字的特性 (Keystroke dynamics)、地理位置 (Geospatial parameters)、系統設定 (System parameters)等。而驗證的結果也不是通過與不通過這樣兩極化的判斷,而是一個稱之為 Confidence Factor (CF) 的數值,系統並可進一步根據此數值決定使用者的權限。整個基本的運作流程可以參考下圖。
雖然整個產品看起來複雜性不高而容易了解,不過卻有幾個重要的議題沒有提到。第一個當然就是此一驗證方式的準確性,尤其是透過瀏覽器取得打字特性,能有多精準的效果仍須實際的例子加以證明。另外一個更大的議題則是使用者的資料如何建立?又如何加以更新?這個議題關係到這樣的機制是否可以應用於提供大眾服務的系統,還是較適合用於內部使用的系統。
儘管如此,如果你想增加驗證機制的安全性,但是又不想造成使用者的不方便,DSGateway或許值得一試。
相關連結:
沒有留言:
張貼留言