本土線上遊戲業者遊戲橘子日前推出國內首見，融合晶片卡PKI、一次性密碼(OTP)及傳統帳號密碼等至少三因素認證的安全認證系統，藉以防堵嚴重的帳號盜用問題。

遊戲橘子上週起開始在便利商店販售新的身份認證產品，包括IC卡及一台具OTP產生器功能的離線讀卡機，售價149元。採用此加強安全認證系統的使用者，必須先將IC卡插入迷你讀卡機，並輸入正確IC卡密碼後，才能獲得一組OTP，使用者再以此OTP搭配原本的遊戲帳號密碼，登入系統核對皆無誤後，始能進行遊戲。

一次性密碼(OTP)並非首次引進線上遊戲，早在去年華義便與RSA合作推出搭配OTP產生器的加強認證方案，但遊戲橘子把OTP與IC卡認證結合，則是國內首見。

「多因素認證可提升登入的安全性，」與遊戲橘子合作提供OTP認證系統的歐柏系統發言代表白峻誠，轉述該公司技術經理施宏憲的談話表示，虛擬寶物、貨幣在可變現的情況下，導致帳號竊盜案例叢生，儘管線上遊戲業者多已採用如PKI、通訊鎖或OTP產生器等解決方案，但受限於需額外安裝軟體或價格高昂，玩家採用比例並不高。

不過，採用三個以上因素進行認證，不單在線上遊戲界首見，廣泛採用PKI或OTP進行身份認證的網路銀行業也尚未看到類似案例，遊戲橘子的舉動也讓人懷疑是否保障過了頭。

對此，白峻誠表示，線上遊戲面臨的帳號竊取問題嚴重性非一般人能夠想像，他認為多重的防護能提供更高的保障。

資安專家、CA（組合國際）技術顧問林宏嘉亦肯定業者作法。他表示，由於國內網路銀行提供的交易性服務不多，且多半還有如轉帳金額、約定帳戶等限制，「加上很多服務還是會要求使用者臨櫃申請，其安全性要求與所有服務都只透過網路提供的線上遊戲有很大不同，」林宏嘉說。

資安軟體亦加碼身份安全

身份竊取已成為資安界的重要議題。在資安業者賽門鐵克與趨勢科技進行的網路安全調查中，以竊取線上遊戲帳號密碼為目的的惡意程式，都列入台灣最猖獗惡意程式的前三名。而McAfee今年初發佈的身份竊取報告中亦引用美國聯邦貿易委員會的估計，因身份竊取產生的經濟損失一年便高達美金500億元。

安全軟體廠商亦紛紛推出對抗身份竊取的產品。賽門鐵克便將在今年底推出的Norton Internet Security消費端套裝安全軟體中新增名為Identity Safe的身份安全模組，以集中管理使用者帳號密碼、電話地址、信用卡號等個人資訊的方式，搭配防釣魚網站機制，避免個人資訊外洩遭盜用的風險。

而趨勢科技與McAfee則採用網頁評等技術，避免使用者接觸釣魚網站或惡意網頁，減低身份資料外洩的可能性。

News from: CNET