Yahoo!奇摩5月推出動態密碼鎖 提升交易安全

Yahoo!奇摩會先將動態密碼鎖在電子商務平台率先採用，並鎖定大型賣家，以及購物通、購物中心等企業用戶為主要使用者。若是初期試用效果不錯，未來還會繼續向其他服務推進。 Yahoo!奇摩將採用中華電信網站認證中心服務，預計在5月針對旗下電子商務平台推出動態密碼鎖（Dynamic Password），以提升其平台安全性。 Yahoo!奇摩總經理洪小玲上週宣佈年度營運重點時表示，在電子商務的部份將會加強平台安全性，而實際的做法預計在上半年就會出爐。目前已經確定和中華電信合作，採用動態密碼，也稱為一次性密碼（One-Time Password, OTP）。目前較多為金融、政府、線上遊戲業者採用，以防止駭客以盜取個人密碼的方式取得使用者帳號中的機密或金錢。 該服務將先行鎖定大型賣家，以及購物通、購物中心等企業用戶為主要使用者。若是初期試用效果不錯，未來還會繼續向其他服務推進。Yahoo!奇摩公共關係部總監歐玫瑛表示，雖然尚不願透露下一步採用的會是哪些服務，不過將會以可能因盜用帳號造成犯罪、有利可圖的服務為主。 Yahoo!奇摩的合作對象中華電信是在2006年10月時就和知名的動態密碼鎖生產商RSA合作，當時只供其小額付費交易平台使用。去年開始，中華電信也將動態密碼鎖提供其ADSL用戶。目前中華電信則是經營身分認證平台，提供Yahoo!奇摩認證服務，類似RSA的經銷商。 中華電信加值系統處處長鄭鳴岡表示，和Yahoo!奇摩洽談合作已約半年，Yahoo!奇摩是第一家和中華電信介接的大型業者，往後還會陸續和銀行、證券下單等業者接洽。合作模式為中華電信販售RSA生產的密碼鎖，並提供伺服器，存放在安全機房當中，Yahoo!奇摩使用者以動態密碼登入時，是透過中華電信後端運作。 鄭鳴岡說，目前中華電信以一年約1000元的價格販售密碼鎖，往後使用會有續約價，服務一開始推出也會有優惠價格。不過這並不代表就是Yahoo!奇摩提供給使用者的價格，Yahoo!奇摩還會有其他考量。 RSA北亞區技術顧問黃惠美表示，當初也將消費模式賣給中華電信，因此中華電信可以經銷商的角色對Yahoo!奇摩等業者提供服務。由於中華電信本身有建設伺服器認證中心，因此Yahoo!奇摩透過中華電信提供服務，自身就不需再架置伺服器，較節省成本。 動態密碼鎖是結合硬體的密碼產生器，購買時會包含一個名為「權杖」（token）的實體硬體裝置。以RSA生產的Token為例，每分鐘都會產生一組不同的密碼，因此使用者要登入時必須輸入手上持有Token當下所產生的密碼。因為每分鐘都會產生不同密碼，因此也被資安業者視為目前較有效的密碼鎖方式。不過由於成本較高，因此目前採用的狀況尚不普遍。 以RSA為例，最早採用該公司動態密碼服務的是線上遊戲公司華義，後來有遊戲橘子等等。黃惠美表示，由於該公司提供的是較不易被破解的時間同步（time base）密碼產生器，因此收費相對較貴，而目前台灣金融業考量成本，仍不願投資在這塊市場。「但他們並沒有考量到安全出一次事要賠多少錢。」他說，如Yahoo!奇摩、HSBC等現在都只將動態密碼用在內部安全控管，Yahoo!奇摩則會在今年開始將服務推向使用者。 資料來源: iThome 2008/3/17