《物聯網生存指南》：身分認證程序漸趨困難，竊取認證資料則漸趨容易

文：布魯斯・施奈爾（Bruce Schneier）

辨識網際網路使用者的身分愈發困難

在《紐約客》（New Yorker）雜誌於一九九三年刊載的一篇著名漫畫裡，有兩隻狗正在交談，對白是：「在網際網路上，沒人知道你是狗。」接著在二○一五年《紐約客》的一篇後續漫畫中，另外兩隻狗討論道：「還記得當年在網際網路上大家都不知道你是誰的時候嗎？」

在網際網路上，這兩種說法都正確無誤。我們隨時都在證明自己就是我們所聲稱的那個人，通常是靠輸入應當只有我們知道的密碼來證明這一點。同時，某些系統讓罪犯和異議分子可在祕密通訊的同時，向主管機關隱瞞自己的身分。不過有許多案例顯示主管機關最後還是能找出那些人是誰。另外，有部分系統提供匿名通訊的功能，其中某些簡單到在建立使用者帳戶時根本無須提供關聯的姓名。最後，駭客可在身分未遭識破下侵入地球另一端的網路，但是同樣地，安全性公司與政府有時也能識別出駭客身分。

如果各位覺得上述所有內容聽來令人困惑又彼此矛盾，那是因為確實如此。

認證程序漸趨困難，竊取認證資料則漸趨容易

美國國家安全局特定入侵行動單位組織的首長基本上等於是美國的首席駭客。二○一六年，時任特定入侵行動單位的喬伊斯（Rob Joyce）罕見地發表了公開談話。簡而言之，喬伊斯表示大眾都高估了零日漏洞，他反而會透過竊取認證資料來侵入網路。

喬伊斯說的沒錯。雖然軟體漏洞如此糟糕，但駭客最常使用的網路入侵手段卻是濫用認證程序。駭客會竊取密碼，也會策畫中間人攻擊（man-in-the-middle attack）好趁有人合法登入時搭個順風車，或者假冒成獲得授權的使用者。竊取認證資料不需要找出零日漏洞或未修補的漏洞，遭發現的機率也比較低，同時還讓攻擊者能更靈活地施展手段。

上述說法不只適用於美國國家安全局，也適用於所有駭客。中國駭客正是利用這種手段在二○一五年侵入美國人事管理局。塔吉特公司在二○一四年遭遇的犯罪攻擊行動，也是從竊取登入認證資料開始。伊朗駭客在二○一一年到二○一四年期間，竊取了美國、以色列與其他國家的政治和軍事領袖登入認證資料。某個激進駭客（hacktivist）在二○一五年利用竊取的認證資料，侵入網路武器製造商駭客小隊公司，而且將該公司幾乎所有專利文件都公諸於世。俄羅斯在二○一六年攻擊美國民主黨全國委員會時，也是利用竊取的認證資料。

根據一份調查顯示，有百分之八十的外洩事件都是因濫用或錯誤使用認證資料所致。Google曾從二○一六年中旬至二○一七年中旬期間觀察Gmail使用者，發現每星期都會有一千兩百萬起釣魚攻擊成功。

由於認證程序無所不在，所以也使竊取認證資料成為有效的攻擊手段。所有個人或專有資料都會受到某種形式的認證程序防護，因此存在許多破解認證程序的機會。我們難以讓認證程序兼具易用與安全的特性，而且在許多情況下，那是不可能達成的目標。此外，大多數系統的設計都是讓某人在獲得認證後，就可執行幾乎所有作業。

使用者名稱與密碼是最常見的認證機制，大家都非常熟悉這種機制。由於需要記住的密碼太多，因此我們可能採取了所有會大幅降低體制安全性的行為，例如選擇弱式密碼、重複使用重要密碼，或是將寫下的密碼留在公共場合中。

攻擊者會利用我們的這類行為。他們會猜測密碼、從電腦和遠端伺服器竊取密碼，在竊得某系統的密碼後，攻擊者會嘗試於其他系統上使用該密碼。他們會猜測用來備援認證程序的「祕密問題」的答案，也會欺騙使用者，讓使用者自行揭露答案。

在二○一六年三月十九日，當時擔任希拉蕊總統競選陣營主席的波德斯塔（John Podesta）收到一封聲稱是Google安全警示的電子郵件，但其實寄件者是代號「魔幻熊」（Fancy Bear）的俄羅斯情報單位。IT部門向波德斯塔提供了錯誤建議，導致他按下信中連結，並在偽造的Google登入頁面內輸入密碼，讓俄羅斯情報單位能存取他十年來的電子郵件。

波德斯塔是釣魚攻擊的受害者，雖然取笑他很容易，但我反而更感到同情。受害者可能極難辨別經過精心設計的釣魚郵件，對不熟悉科技的人來說更是如此。而且即使波德斯塔抵抗了三月十九日那封電子郵件的誘惑，魔幻熊駭客可能會一次又一次地繼續嘗試，而且他們只要走運一次，即可達成目標。

釣魚攻擊可以是鎖定對象的行動，也可是大規模攻擊。在一起於二○一七年發現的大規模釣魚攻擊中，詐騙者在駭入帳戶後，即傳送電子郵件給該帳戶使用者的聯絡人。該電子郵件內含有一個偽裝成Google文件檔案的蠕蟲，會在受害者登入時收集他們的Google認證資料，隨後該蠕蟲又會再將自己轉寄給受害者的所有聯絡人。Google在發現蠕蟲後將其禁用，不過Google估計已有一百萬名Gmail使用者受到該蠕蟲影響。

若要說我們從以上所有事件學到了什麼教訓，那就是密碼非常不安全。雖然低安全性需求的應用可使用密碼機制，但對安全性要求較高的應用就不適合使用密碼了。

現在有三種基本方法可用來認證身分：知道的資訊、身體的特點、擁有的品項。密碼是我們知道的資訊。我們之所以能使用密碼進行認證，是因為應該只有我們本人才知道這項資訊。