台灣資安業者巡禮 ─ 來毅數位
鑑於傳統雙因子認證已無法阻擋駭客竊取帳密,所以來毅數位推出的 Keypasco 多因素(Multi-Factor)身份認證解決方案,使用雙通道認證架構,藉由不同於 VPN 連線的第二條通道驗證登入資訊,讓駭客無法成功執行中間人攻擊及釣魚攻擊。
採訪/施鑫澤‧文/林裕洋
在 COVID-19 疫情影響下,異地辦公、遠距辦公等,成為企業因應此波衝擊的最佳方案,只是此急就章啟動混合辦公模式機制,也給駭客發動攻擊的最佳機會。根據研究報告指出,過去兩年企業遭受資安攻擊次數比過去高出數倍,箇中關鍵便在於引進遠距辦公機制過於倉促,加上居家辦公的數位環境複雜,在員工資安意識不足狀況下,可能在不知不覺中就外洩了存取公司網路資源的帳號密碼。
在此狀況之下,全球各地不時爆發各種資料外洩事件,造成公司經濟與商譽的傷害,所以若能借重多因素身分認證解決方案,就可將資安風險降到最低。
[ 2022年度CIO大調查報告下載 ]
來毅數位執行長林政毅指出,除了前述帳密可能在無形中遭到駭客竊取外,多人連線的遠距會議同樣是易遭駭客攻擊的脆弱環節,我們推出的 Keypasco 多因素(Multi-Factor)身份認證解決方案,使用雙通道認證架構,藉由不同於 VPN 連線的第二條通道驗證登入資訊,讓駭客無法成功執行中間人攻擊及釣魚攻擊。此外,Keypasco MFA 多因素身份認證具備設備特徵值與地理位置認證功能,在登入過程中進行驗證,確保帳號登入都是在指定的設備,如電腦、手機、或平板與授權的地點中進行,可讓遠距工作環境更加安全。
駭客攻擊手法進步 多因子認證興起
成立於 2012 年的來毅數位,與瑞典團隊合作研發 Keypasco 多因素身分認證(Multi-Factor Authentication, MFA)方案,市場遍及台灣、美國、瑞典、愛爾蘭、新加坡、中國及西班牙,成功導入應用於銀行、行動支付、智慧建築、電商、科技、製造、政府機構以及醫療產業,全球 16 個國家有 18 個策略合作夥伴積極拓展國際市場。目前來毅數位正積極投入於區塊鏈、以及後量子密碼領域的技術開發,近期將推出 SaaS 服務,持續發展推動數位資安服務。
發展多年的雙因子認證機制,過去是保護網路交易安全的重要工具,然而,在駭客攻擊手法日益進步下,此機制已無法保障企業員工在連線存取資料過程中的驗證安全,甚至金融業經常使用的簡訊驗證碼也屢屢發生遭釣魚、劫持等攻擊,美國NIST、以及白宮所發佈的網路安全政策也強調使用多因素身分認證的重要性及迫切性。而來毅數位科技推出的 Keypasco ,是一套純軟體的雲端身分安全認證服務,利用個人設備、地理位置、PKI Sign、近場認證(Proximity)、以獨特專利的雙通道認證架構、搭配智慧風險管理引擎來強化網路使用者的身分安全。這項產品擁有全球 16 國五項發明專利,與時代趨勢同步,解決傳統 PKI 的困境與挑戰,為數位化服務提供最便利的方案。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
林政毅舉例,部分針對金融產業設計的解決方案,是採用硬體式裝置,雖然具備不容易被破解的優點,但是在使用便利性上就大打折扣。特別是在現今行動網路銀行服務盛行下,硬體產品搭配智慧型手機使用是否能獲得使用者的青睞,仍然是一大疑問。因此,我們產品採用純軟體設計,可安裝於用戶的多種終端設備,如電腦、手機、平板、或筆電,用以收集設備特徵值以及地理位置作為認證依據,不存放任何 credential 在設備端,即便設備不小心被犯罪組織拾獲,也能有效避免發生被冒用的風險。
支援跨平台 滿足多元應用場景
在全球市場備受歡迎的 Keypasco 多因素身分認證方案,除前述種種功能之外,還有許多特色與優點。首先是研發出PKI私鑰分拆的專利技術,因私鑰結合了設備特徵值並且分拆儲存於終端設備與認證系統中,即使終端設備的一半私鑰被竊取了,也無法完成原始的 PKI 簽章,有助於提升數位金融高風險交易的安全性。其次,Keypasco MFA 提供完整的 API,企業可依照不同的驗證需求,彈性的整合認證因子,無需改變既有的使用者體驗,方便與現存的系統整合為一體,有助於降低應用服務開發的成本。另外,產品也提供 FIDO 方案,協助企業實現免密登入,降低密碼管理資源的投入。
「除此之外,產品也提供智慧風險管理引擎,透過風險管理機制來達到零信任持續性驗證的安全目的。」林政毅解釋:「整體而言,Keypasco 是一套跨平台、瀏覽器的身分驗證解決方案,企業無論採用哪種組合,都可以解決所有當前的線上身分盜用的威脅,並且容易整合至既有系統。」
整合產業能量 提供政府建言
過去因為台灣高科技產業在代工領域的成績亮眼,以至於台灣軟體產業的實力被忽略,也讓多數企業習慣購買外國品牌的資安設備。實際上,台灣資安產業能量並不差,可惜受制於企業規模較小,難以與外國品牌競爭,其實若能有效整合產業能量,透過團隊合作方式,將有助於提升在國際舞台上的競爭力。而身為台灣資安協會(TWISA)創始會員之一的來毅數位科技,當初就是希望能透過成立協會方式凝聚台灣資安產業能量,除有助於搶進國際市場之外,也能提供給政府單位相關建言,讓相關輔導政策更符合產業需求。
林政毅指出,舉例而言,我們現在搭配公有雲端服務推出的資安解決方案,往往要通過主管機關繁瑣的驗證。不可否認,為避免發生資安疑慮的前提下,相關驗證是有其必要性,不過公有雲驗證部分應該只需一次即可,而非每次有業者送驗時,就得重新再驗證公有雲業者的安全性。此種重複驗證工作,對公有雲業者是非常大的困擾,也會造成資安業者推出新產品的意願。
而隨著資安法正式上路,來毅數位觀察到公部門、大型民營企業對於資安確實比過去重視,也開始投資在資安防護架構上。為此,來毅數位將會攜手更多合作夥伴,提供不同產業所需的解決方案,助台灣產業強化資安防護力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
