《詐騙交鋒》：我們都會認為密碼可以保護我們的安全，但太天真了

文：法蘭克．艾巴內爾（Frank W. Abagnale）

為什麼我們該捨棄密碼機制？

一星期之中，或是一天之中，我們為了使用某個網站或登入網路帳號，得輸入多少次混雜了數字、字母、符號的密碼？我自己是數不清。我們都會認為密碼可以保護我們的安全，但太天真了，密碼根本就無法保護我們不被駭客攻擊，也無法確保我們在網路上的資料不會被看到，所以我認為應該要廢除密碼機制。密碼機制早就過時了，毫無功用，只是徒增消費者的困擾，而不是保護消費者。

看看我們手邊的科技產品與服務，有iPhone、網路銀行、線上購物、Google、智慧電視等等，全都不是在一九六○年代發明的產物。可是，目前最廣為採用的安全機制——帳號與密碼——卻是在一九六三年設計出來的，這可是超過半個世紀之前的發明。密碼的發明和設計本來就不是用來追求高度安全性，起初的目的是為了保障每位使用者在同一臺電腦上的使用時間長短，也就是所謂的電腦共享，而密碼機制可以讓每個人讀取到屬於自己的文件、網頁搜尋和對話記錄，讓共享電腦成為「個人」電腦。

進入網路時代後，消費者對於密碼的使用也習以為常了。大家現在為了獲取個人資料和登入個人的網路服務，而廣為使用的帳號密碼機制，起初就不是設計來保護我們的，所以到了現在也仍舊無法保護我們。時至今日，隨處可見的密碼機制也迅速演變成致命的弱點。密碼機制的發明人是南多・柯巴托（Fernando Corbato），現年九十二歲（已於二○一九年七月離世），就曾指出密碼已經「變成網路世界大戰的噩夢了」。

麥可・謝爾托夫（Michael Chertoff）於二○○五至二○○九年間，出任國土安全部部長一職，也於二○一六年在CNBC消費者新聞與商業頻道節目中，表示贊同此一觀點，他說道：「細究重大資料外洩事件，不難發現有一個共同點：每一起『重大頭條』資料外洩事件，攻擊的媒介正是常見的密碼機制，原因很簡單：密碼機制是資訊安全中最弱的一個環節。」我同意這樣的說法，也同意謝爾托夫指出下一步就是要擺脫密碼機制，「取代密碼機制這件事情應該列為國家的當務之急，政府當局可以召集相關產業和機關團體，一起採用安全性較強的解決方案，這樣才能擺脫密碼機制下的資料外洩事件。」

為什麼密碼機制行不通

為什麼密碼機制無法防治資料外洩？又是基於什麼原因，所以無法遏止網路犯罪？其中一個原因是靜態密碼：長期在不同的平台和帳號使用同一組、未曾變更過的密碼。每當有大型資料庫被駭客攻擊，常會見到其他公司行號或網路平台也會跟著發生資料外洩事件，而串起這些意外的關鍵就是：一組密碼。

假設你要從銀行帳戶把錢轉出去，你當然希望銀行只在你本人提出需求的時候，才進行轉帳，如果是詐欺犯提出的要求，自然不要照辦。那麼，如果你只是用靜態的認證機制來證明身分的話，例如密碼，銀行要如何分辨真的是你本人，還是其實是在網路假扮成你的「假面惡魔」呢？如果駭客利用網路釣魚、惡意程式、資料外洩等手法，取得你的密碼，那就等於拿到通往你財務大門的萬用鑰匙了。同樣的，你的私人醫療資料也是如此，如果你想要看到專屬於自己的個人紀錄，你得先向醫療院所證明身分，但若僅是使用一組靜態密碼來證明的話，對方很難百分之百確定真的是你本人。

如果你認為——就像大家一直在講的——設個長一點、複雜一點的密碼，並時常變更，就會很安全，那可就大錯特錯了，因為就算這麼做，也還是沒辦法改善密碼機制的問題。數位鑑識專家辛姆森・伽芬凱曾表示：「密碼的長度與複雜性都無法提升其安全性，那只是組織單位用來展現他們很在意資安問題的說詞而已！」二○○八年起，有項學術研究發現，長一點的密碼並無法有效提升安全性。一般來說，變更密碼只是把幾個常用的密碼組合交換使用罷了。

網路罪犯一般都不是靠自己去猜出密碼，而是用偷的，可能是從大型組織單位竊取大批資料，可能是監看公用無線網路盜取資訊，也可能是利用電子郵件或惡意程式的釣魚攻擊手段，另有可能是利用程式來破解密碼。我們通常都會被告知不要使用搜尋得到的資訊來設定密碼，譬如：母親娘家的姓氏、寵物的名字、小時候住的街道名稱等等。不過，就算是隨機組合而成的字母、數字、符號，也不見得就會比較安全，因為罪犯採取的是上述提到的資料偷竊手法，而偷取長又複雜的密碼或短又簡單的密碼，其實難易度是一樣的。況且，要背起來又長又複雜的密碼其實很難，但寫下來又有安全上的疑慮，使用密碼數位「管理」軟體又很麻煩。

困在不同的密碼層級裡

在此把密碼機制分為五層，而我們一般人都還困在第一層。

• 第一層：靜態或「通用」的帳號和密碼（每個網站都使用同一套帳密，鮮少變更），我們大多數人都還卡在這一層。
• 第二層：靜態的帳號和密碼，外加雙重或多重身分認證，所以不只單一密碼，而是要求提供兩組資訊：一個是一次性密碼，欲登入網站或裝置的變動性密碼；另一個是「以使用者個人資訊為基礎的認證」，做為提供給網站的第二項個人保密資訊，我們當中有些人已經進階到這一層了。
• 第三層：持續不斷變動的完全動態密碼，也就是每次要登入網站時，密碼都會變更，又或會時常被要求變更密碼。
• 第四層：遠端掃瞄政府製發的身分證明文件來證明身分，此種身分證明文件不會儲存個人身分認證資訊，但透過機器掃瞄能立即傳送資料到有關當局，以利驗證使用者的身分，另一種方式是藉由核對自拍照和身分證明文件上的個人照來證明身分。
• 第五層：透過政府製發的身分證明文件，由本人親自確認證明身分。此驗證過程中，個人要證明自己的身分時，須出示（附有照片和簽名的）原版身分證明文件和地址證明文件，可透過像是Skype等科技技術來協助完成驗證。

資料外洩與密碼竊賊

是到了該改變密碼使用習慣、脫離第一層密碼層級的時候了！可是，歷史資料顯示組織單位、政府機關、公司行號，遇到電子數位保護機制需要升級更新的時候，步調往往都很緩慢，這真的讓人感到很沮喪。而且，從數位資料外洩歷史事件紀錄來看，我們面對的問題日益加劇，但我們的反應和處理速度卻遲緩無比。

二○○五年以前，確實也發生過資料外洩意外，共計有一百三十六起通報案件，但大宗資料外洩案件大多是在二○○五年以後才發生的。罪犯可盜取的資料量變多了，資料外洩案件量自然也隨之增加。依據二○一七年《年度資料外洩事件回顧》（Annual Data Breach Year-End Review）的資料，美國資料外洩案件於二○一七年創下新高，計有一千五百七十九起，受波及的人數高達數十億人，不僅刷新了二○一六年才創下的新數字，成長幅度更高達百分之四十四點七。現在，就算聽到網路犯罪分子攻破某間大企業的保護網，竊走公司和客戶的錢財和私人資料，大家也不會過於驚訝。資料外洩案件的調查工作發現，每個案件都有個共同點：靜態認證機制與密碼失竊。