編譯／潘楠慕

現代人的生活，愈來愈離不開網際網路，許多重要資料和個人資訊也都儲存在網路和相關設備上；保護這些重要資訊的傳統方法就是密碼，但隨著資訊數量膨脹，記住各種不同密碼也益發不易；許多人為了省事，常使用簡單的密碼，但也增加個資外洩的風險。

科技的進步，將有效改善這個問題。目前，網際網路的新安全標準，可望使傳統的密碼消失，改以其他方式讓使用者登錄各個網站或裝置，包括硬體安全密碼、指紋辨識、人臉辨識、虹膜掃描和其他生物特徵識別。

這種「網路認證」標準（Web Authentication，簡稱WebAuthn）的設計宗旨，是透過生物辨識和使用者原有的設備取代密碼，例如智慧手機、指紋掃描器和網路攝影機。使用者不需要再記憶冗長的密碼，只要透過生物特徵或關裝置，即可透過藍牙、USB連接埠、近場通訊（NFC）等技術，進行網路身分認證。

掌管網際網路標準的全球資訊網協會（World Wide Web Consortium，W3C）執行長賈費（Jeff Jaffe）表示：「『網路認證』將改變目前人們使用網路的方式。」

目前已逐步採用的WebAuthn例子之一，就是使用者準備登入某個網站時，只需輸入用戶名稱，隨後便會在智慧手機上收到提示訊息，然後點擊訊息即能登入，不需密碼。

賈費表示，「網路認證」可以保戶使用者免於釣魚式網路攻擊，用戶也無須擔心認證訊息遭盜用，因為每次準備登錄時，系統都會隨機產生僅能使用一次的身分認證指令。

倡導這種新標準的機構之一，是「線上快速身分驗證聯盟（Fast Identity Online Alliance，FIDO）」。執行長麥道威爾（Brett McDowell）表示：「近幾年來，數據外洩和密碼遭盜取的情況愈來愈嚴重，各種服務的提供者，應該得終止對過去那些易受攻擊密碼的依賴，在所有網站和應用程式中，使用可防止網路釣魚的網路快速身分認證方式。」

「網路認證」新標準，也可幫助人們為每一個裝置和服務設定獨特的登錄資訊，並非在每個網站或設備都使用同一個名稱及密碼，以免某一個網站遭駭客攻擊後，使眾多使用者蒙受損失。

W3C聯盟，目前已把「網路認證」標準列入「候選推薦階段」。這個階段，是網際網路標準或最終核准，並開始邀請各網站、各種裝置採用之前的倒數第二個階段。

W3C並宣布，Google、微軟、火狐等公司都已決定致力支持這個新標準；也就是說，目前除了蘋果公司的Safari瀏覽器之外，其他所有主流瀏覽器，未來都可望採用這種新標準。

賈費說：「網路安全，當然還有許多問題仍待解決，但至少我們應設法減少對最容易受攻擊的密碼之依賴。『網路認證』的多種跨平台認證方案，可以幫助我們消除許多風險。」

網路攻擊災害大 防駭措施也升級

網路攻擊的潛在災難性影響，過去較不受重視；但隨著幾次影響深遠的網路攻擊事件發生，各國當局逐漸體認這種攻擊型態的嚴重性，如果不開始嚴肅看待網絡安全，未來的網路攻擊所造成的損失，將難以估量。

新一代武裝衝突的明顯實例，出現在二○一五年。當時美國和以色列聯手，試圖透過Stuxnet病圖摧毀伊朗的核武計畫；當時的攻擊並未完全成功，但已摧毀一千台鈾離心機。另外，同年十二月烏克蘭發電廠發現電腦遭駭客遠端控制，據信約十萬人的生活受到影響。

對網路安全的危機意識提高，促使各當局和機構投入大量資源，因應未來的攻擊。例如，IBM等大型企業已興建網絡安全測試實驗室，使跨國企業體驗網路攻擊的嚴重程度。美國最大建築公司之一比奇特爾（Bechtel），也在華盛頓特區郊區成立實驗室，用來展示駭客攻擊擊對工業控制系統（ICS）的破壞，也成為該公司承包美國政府業務工業控制系統的網路安全中心。

比奇特爾公司網絡實驗室項目經理哈特曼（Chad Hartman）說，物聯網（Iot）日益擴張，生活中多種裝置都可連結，但也提供駭客許多入侵途徑。若針對重大基礎設施發動攻擊，產生的傷害有如戰爭。

目前，許多專家最擔心的是金融機構合醫療系統受到攻擊。前者可能導致金融秩序崩潰，經濟受創，甚至引發動亂。至於醫療體系一旦遭到破壞，可能使許多患者的生命受到威脅。以日前出現的「想哭」病毒為例，英國約三分之一的公立醫院遭到感染，所幸駭客僅刪除數千人的預約資料，如果發動更惡意的攻擊，例如竄改病歷或處方，後果不堪設想。

比奇特爾公司的安全專家最為擔心的是恐怖主義襲擊，無論是恐怖組織或獨狼，未來的網路攻擊事件數量只會不斷增加，後果也更令人憂慮。專家呼籲，除了技術層面的防範，各界也應提升防駭的意識，才能將網路攻擊的危害程度降至最低。

提高安全意識 對抗網路犯罪

全球眾多電腦使用者，對數位化設備的安全意識其實並不充足，甚至經常使自己暴露在網絡安全威脅之下。實體住宅裡擺放許多貴重物品，多數人選擇上鎖、保全系統加以保護；然而，數位設備儲存的個人資訊、機密文件，相關保護措施卻常被忽略。

所幸，現在已經有一些實用的措施，可保障數位安全。英國網絡安全公司駭客之家（Hacker House）的創辦人海基（Matthew Hickey）建議，美國國家安全署（NSA）的員工安全指南，非常適合作為設置家庭網路安全的參考。

這些安全措施，包括監控進出家庭網路的流量，一旦出現異常便可盡早檢查。此外，他建議選擇較少使用的裝置或智慧手機上網登入銀行賬戶，因為較常使用的電腦或手機可能已經被植入木馬。

另外，重要個人資料，也該定期進行備份，單獨儲存在未連結電腦的外接硬碟；這樣一來，就可降低電腦遭駭客入侵或感染惡意勒索病毒時的損害程度。

安全意識的提升，也是自我保護的重要措施。專家提供的建議，包括使用公共Wi-Fi前，應該下載虛擬私有網絡（VPN）軟體，從而防止他人透過截取Wi-Fi網絡數據來監控你的上網活動。

以網路攝影機為例，許多人可能沒注意修改原廠設定，安全層級過低，使用者家裡或辦公室裡的情景因此被有心人士一覽無遺，當事人卻一無所知。海基指出，所有人該採取某種程度的安全措施，提高安全意識，才能自我保護。