作者:Gemalto亞太區資訊安全高級經理伍尚池
相信大家對飛行里數並不陌生,透過搭乘航班、酒店住宿、外出用膳、信用卡簽帳等方式以消費金額換取相等飛行里數,賺取一趟旅程的機票。因此,很多人會申請相關帳戶,以恆常消費兌換優惠。
一間在香港享負盛名負責飛行里數的公司在全港已累積擁有 140 萬會員,但早前其會員帳戶持續遭飛行里數大盜入侵。根據警方接獲的報案數字,今年 1 月至 2 月底,共 121 個飛行里數帳戶被入侵,盜取 470 萬里數及 20 多萬元積分禮品。
警方網絡安全及科技罪案調查科指出,相信有人以不法手段取得客戶的登錄帳戶密碼,然後非法登入這些戶口,把其飛行里數轉至其他戶口。上述事件反映,客戶登入帳戶過程的安全已敲響警號,但飛行里數公司仍然沿用 6 位數字組合密碼,此等保安措施其實極易破解,如同虛設。
根據數碼保安供應商 Gemalto(金雅拓)發表的 2014 年第四季外洩水平指數,單是去年已錄得超過 1,500 宗數據外洩事故,涉及 10 億項數據紀錄,較 2013 年的數據外洩事故有 49% 增長,數據紀錄被竊或遺失則足足有 78% 增長。資料外洩愈來愈嚴重。眼看此等犯罪案件數字不斷上升時,企業更需要考慮採用以數據為中心的數碼威脅,以更佳的身分和存取控制技術,如多重身分認證和使用加密和密鑰管理保護敏感數據。
雙重認證較可靠
以今時今日的科技,數字密碼對黑客而言已不是甚麼威脅,只需運用相關軟件,黑客便可在短時間內破解密碼。因此,單靠一組以 6 位數字組成的密碼實在不能達至理想的保安程度。
其實,只需要多加一重認證,達至雙重認證,便可進一步加強存取資料時的保安程序。相信今年將有更多配備指模讀取裝置的手機在市場推出,適用於手機的簡易連接技術亦將繼續湧現,令身分認證方法變得更多樣,例如 SMS 確認網上服務的身分認證。
簡單而言,假若飛行里數公司實施雙重認證,下次當客戶登入帳戶時,隨了需要輸入 6 位數字密碼外,同時間還需要輸入一個經 SMS 接收的一次確認碼,即使飛行里數大盜偷取了客戶的帳戶密碼,仍欠缺 SMS 認證碼存取帳戶,令盜取的資料變得無價值,同時亦是保護客戶及公司的重要工具。