動態密碼廠商Vasco進軍臺灣

曾獲得HSBC全球採用的動態密碼廠商Vasco，由華葑資訊代理進軍臺灣市場，推廣電子交易認證及為企業遠端連線身分認證應用。 香港匯豐銀行所採用的Vasco動態密碼權杖（token）產品，日前已由華葑資訊引進臺灣。華葑資訊副總經理劉鎮發表示，除了網路銀行等電子商務用戶，陸續採用這種以時間為基礎（Time-Based）的動態密碼（One Time Password，OTP）權杖外，在臺灣也有越來越多企業有遠端連線認證需求，都透過類似動態密碼做認證。 所謂的Time-Based的權杖就是指動態密碼每經過一個固定的時間，密碼就會自動變更，與一般事件為主（Event-Based）的密碼，當次或未更新前永久有效不同。 劉鎮發表示，Vasco在國外的客戶主要以網路銀行為主，包括匯豐銀行、荷蘭銀行及花旗銀行等，他說，目前臺灣已有一家金控預計採用Vasco的權杖，做為網路銀行使用者的身分認證之用。Vasco在臺灣則主要針對證券下單、電子採購等電子商務業者，提供動態密碼權杖的服務。 除了網路銀行的身分認證外，華葑目前也已經有客戶以此做為無線網路連線時的身分認證之用。劉鎮發表示，臺灣資誠會計師事務所（PwC）日前全面導入無線網路，就搭配Vasco動態密碼權杖，使用者要連線無線網路時，除了經過帳號和密碼的驗證外，還必須鍵入動態密碼權杖當下顯示的號碼。劉鎮發說，這種結合帳號密碼加上權杖的雙因素（Two Factor）認證，讓安全性備受質疑的無線網路，也能做到比較嚴謹的身分認證。 除了無線網路的身分認證，劉鎮發說，在SSL VPN（虛擬私有通道）、IPSec VPN連線認證，或者是RADIUS的身分認證，目前Vasco都有搭配動態密碼權杖做認證的例子。 據了解，Vasco方案之所以獲得HSBC採用，其中一個因素是價格比起另一家廠商RSA的方案便宜，劉鎮發說：「除了價格，Vasco可以針對不同企業用戶的客戶需求，提供不同等級的權杖選擇。」目前Vasco可以提供超過40種不同類型和安全等級的權杖。 這40種不同的權仗，可以讓銀行針對不同等級的客戶，提供不同等級的權杖，例如，提供交易簽章的權杖，或是可以讀取包含第二代金融卡的權杖讀卡機等。劉鎮發指出，以可做交易簽章的權杖為例，單純的動態密碼只能確保密碼不被偷，但能做交易簽章的權杖，卻可以有效預防中間人（MITM）攻擊，這也是荷蘭銀行採用這類權杖的主要原因。 劉鎮發表示，Vasco動態密碼權杖依照使用人數計價，Digipass Go 6 以60個使用者為例，包含系統安裝與整合設定和維護等，未稅建議售價為370,500元。 兩大動態密碼權杖廠商互搶市場 動態密碼權杖（token）知名廠商RSA與後起之秀Vasco，在2004年匯豐銀行的全球標案上首度交鋒，最後是Vasco獲選。EMC資訊安全事業部RSA北亞區技術顧問黃惠美表示，RSA當初失去匯豐銀行標案的關鍵在於價格，當時RSA仍只關注在企業市場，與網路供應商如思科（Cisco）、Juniper和F5等，推出權杖與SSL VPN的搭售方案，面對使用者數量龐大的電子商務市場，RSA當時缺乏價格的彈性。 黃惠美表示，RSA在2005年與華義國際簽訂線上遊戲玩家身分認證權杖的合作方案，這不僅是RSA正式進軍電子商務市場，線上遊戲結合Token的應用更是全球首例。此外，中華電信的小額付款機制hiCard亦結合RSA Token，這也是全球首例。 RSA從企業端走向電子商務市場，而Vasco則從電子商務領域跨足企業用戶遠端連線需求。Vasco臺灣代理商華葑資訊副總經理劉鎮發表示，在臺灣除了推廣網路銀行的企業用戶外，未來也有公共工程單位及一般企業打算使用動態密碼權杖來做關鍵系統的身分認證。 資料來源: iThome 2007/11/19