傳統簡訊 OTP,已經不再安全!

目前市場上,民眾使用電子政務或者電子商務(例如:網路銀行或線上購物)等線上服務時候,為求安全與便利,通常會運用手機之傳統簡訊 OTP  (一次性密碼) 驗證機制,亦即由服務提供者(例

       美國國家標準與技術組織-NIST(National Institute of Standards and Technology)在其 SP800-63B 的 Out-Of-Band Verifiers 章節中,也明確指出「傳統簡訊 OTP 」的不安全性,建議不要使用。

如:政府機關、銀行或網購業者)傳送含有一次性密碼/ 驗證碼的簡訊到民眾的手機,民眾再將驗證碼輸入到電腦上的服務交易頁面完成整個服務交易過程。

但是許多行動 APP 可能會有讀取「簡訊」的權限,導致若駭客入侵民眾手機,或者民眾下載惡意 APP ,駭客便可以攔截簡訊而取得一次性密碼/ 驗證碼,進而偽冒民眾之身份進行各種交易,這幾年來所流行的簡訊小額付款詐騙便是利用此安全漏洞。

 

 

AOTP - 最新、最便利、最普及、最安全、最經濟之身分認證機制!

AOTP(Active One-Time-Password)是簡訊 OTP 的安全強化版本,解決簡訊 OTP 面臨的漏洞。所謂 AOTP 機制,乃是民眾先註冊設定好身分驗證用的手機門號,在進行電子政務或者電子商務(例如:網路銀行或線上購物)等線上服務時候,服務業者會提供一組「一次性密碼/驗證碼」,民眾僅能運用先前註冊設定的特定手機號碼來「直接」傳送該「一次性密碼/驗證碼」簡訊到專用電信簡碼(例如:83811)系統業者來完成認證。 相較於 OTP,AOTP 增加以手機號碼作為身分認證的一道辨識機制,強化多因認證的強度,避免過去惡意人士可以竊取手機簡訊 OTP 進而利用電腦網頁填入 OTP動態密碼。同時目前最新的手機作業系統(所有 iOS 與 Android 4.2 及以上),如果要發送訊息至電信簡碼,一律都需要經過手機系統層之人工確認安全機制(Android 會另外跳出需要「人工確認」發送的提醒)才能發送,惡意人士便無法利用植入病毒或竄改 APP 來操控使用者手機自動回傳密碼。運作架構下如圖:

 

平台運作架構

功能特色效益

  • 運用 AOTP 專利領先技術為行動裝置、PC/NB(Windows) 提供完整 API 與電子政務或者電子商務(例如:網路銀行或線上購物)等線上服務系統進行介接,建立安全多因(Multi-Factor)的一次性密碼/驗證通道:

          - 協助政府機關與企業團體防範未經授權的存取與詐欺交易的威脅,提供便利與安全的保障。


  • 針對常見之密碼猜測破解、鍵盤側錄竊取、釣魚偽冒網站、中間人攻擊(Man-in-the-Middle)、瀏覽器中介攻擊(Man-in-the-Browser) 以及社交工程攻擊,乃至於行動裝置惡意程式攔截、線上網站服務交易攔截、手機病毒植入、手機 APP 破解置換、電信偽基站、竄改簡訊來電顯號…等,皆能有效防範未經授權的存取與服務詐欺交易的威脅,提供政府機關與企業團體提供最便利與最安全的保障。
  • 支援下列型態的 AOTP 機制

    - 電信簡碼 AOTP

    - 行動 APP AOTP

    - Windows Client 軟體式 AOTP

    - Email 連結 AOTP

  • 支援 HA 高可用性架構
  • 支援 Radius 身分整合擴充模組
  • 支援 MS AD /LDAP身分整合擴充模組
  • 支援行動支付整合擴充模組
  • 支援電子票券整合擴充模組

軟體/模組授權方式

  • 本軟體/模組授權方式:軟體使用授權,包含下列所有平台模組:

          - 協助政府機關與企業團體防範未經授權的存取與詐欺交易的威脅,提供便利與安全的保障。

          - AOTP 身分認證軟體平台:基本模組

          - HA 模組:擴充模組 for 高可用性

          - MS AD/LDAP 整合模組:擴充模組 for MS AD 或者 其他 LDAP 目錄服務協定

          - VPN/Radius 整合模組:擴充模組 for Radius 認證

          - 資訊系統介接授權:配套模組 for 介接整合之資訊系統(透過 API)

          - 使用者連線授權:配套模組 for 使用者人數

          - 電信簡碼簡訊系統介接連線授權:配套模組 for 電信簡碼系統介接授權

          - 電信簡碼簡訊 Token 連線授權:配套模組 for 電信簡碼 Token 使用者授權

          - 行動 APP 軟體 Token for iOS/Android 連線授權:配套模組 for 行動 APP Token 使用者授權

          - Windows 軟體 Token 連線授權:配套模組 for Windows Token 使用者授權

          - E-mail 軟體 Token 連線授權:配套模組 for Email Token 使用者授權

          - 行動支付整合軟體模組:擴充模組 for 行動支付整合

          - 電子票券整合軟體模組:擴充模組 for 電子票券整合

          - 整合客製模組:擴充模組 for 客製整合

 

交付項目

 

  • 軟體授權書,前述各模組授權數量,根據客戶需求勾選購置。

其他

 

  • * 電信簡碼簡訊機制可能會有【衍生】簡訊費用,客戶需根據使用量自行負擔。