Hinet將由明(10)日起推出名為「動態密碼鎖」的一次性密碼令牌(One-Time Password Token)服務，透過資安業者RSA研發之外型類似隨身碟、每60秒會更新一次的密碼生成裝置，在原有的用戶帳號密碼認證機制之外，增加一次性密碼輸入，希望藉由雙因素認證，解決身份竊取問題，該公司表示。

在防止身份竊取之外，中華電信還會在使用者成功登入後，顯示使用者手上裝置即將更新的新密碼供用戶核對，用以判斷正在連線的是否為釣魚網站。

不過該服務目前仍屬試辦階段。中華電信數據分公司加值系統處處長鄭鳴岡表示，目前該服務的身份認證範圍，僅限於用戶在Hinet官網登入及小額付款時的認證，未來將擴及到無線上網認證，並視試用效果進一步提供予第三方電子商務提供者使用。

ISP業者推出身份驗證機制，某種程度或可說明身份竊取的嚴重性，但同時也顯示了其所可能帶來的商機。

檢視資安廠商過去一年多來的報告，身份竊取不約而同地成為各家業者提出要求注意的重點。McAfee便在今(2007)年初發佈的報告中指出，在2004年1月到2006年5月的調查期間，常見用來獲取使用者帳號密碼的鍵盤測錄程式(Keylogger)便增加了250%，而因身份竊取所造成的經濟損失，據該報告引述美國聯邦貿易委員會的估計，一年可高達美金500億元。賽門鐵克亦在其報告中揭露，去年下半年在台灣最為猖獗的前三個惡意程式，就有兩個是專偷線上遊戲的帳號密碼。

為了對抗身份竊取所可能帶來的經濟損失──或對資安業者來說的可能商機──，資安業者亦紛紛新增釣魚網站辨識產品，如McAfee的SiteAdvisor與賽門鐵克的Confidential及Norton 360。

雖然Hinet在試用期間免費提供動態密碼鎖服務，但這個國內首個推出一次性密碼令牌的ISP業者，未必會一直以免費的形式提供該服務。鄭鳴岡坦承，未來的確可能會對動態密碼鎖使用者收費，但他解釋，收費對象未必會是實際持有密碼鎖的個人用戶，「也可能對欲採用此機制的第三方業者收費，」他說。

儘管能夠提升安全性且可能帶來商機，但競爭業者仍在觀望。Seednet產品經理吳侑勳表示，該公司也在研議加入一次性密碼等雙因素認證機制，但仍需觀察使用者的反應。多輸入一個密碼與設備的保管對用戶來說可能很不方便，「用戶會不會願意為了安全而犧牲一些便利，我們認為仍需觀察，」他說。

Hinet將在六月底前免費提供一萬個動態密碼鎖供該公司寬頻用戶申請試用。鄭鳴岡說，動態密碼鎖只是該公司加強身份認證機制的第一步，未來還可能利用手機簡訊傳送一次性密碼，或是與內政部自然人憑證結合，推出多元的認證機制。

News from: Taiwan.CNET.com