雅虎奇摩拍賣採用自然人憑證、動態密碼

| | | | | | 7則回應

    

雅虎奇摩今宣佈推出「帳號安心鎖」新服務，透過採用內政部自然人憑證，或中華電信與RSA合作的動態密碼鎖兩種認證令牌的其中一種，在既有的帳號密碼之外，再加上一道關卡，並藉此提高登入安全性。雅虎奇摩總經理洪小玲表示，該服務將首先應用在拍賣，未來並將進一步推展到其他對身份認證較敏感的服務上，如電子郵件等。

使用者可以選擇要採用內政部核發的自然人憑證，或向Hinet以首年租金599元、續約年租金399元的代價申租動態密碼鎖，在完成設定後，每次使用者要登入拍賣服務時，便會被系統要求在讀卡機上插入自然人憑證並輸入密碼，若使用的是動態密碼鎖，則必須輸入上面顯示的一次性密碼(One Time Password, OTP)，才能完成完整的登入動作，不過後者僅限Hinet用戶申裝。

值得注意的是，不論是OTP或自然人憑證，主要都被使用在對身份認證安全等級較高的服務，如網路報稅、網路銀行等，入口網站採用雙因素認證技術，雅虎奇摩可能還是頭一遭，而這正也反應出了帳號盜用問題的嚴重性。

近年來受到釣魚網站、木馬程式氾濫的影響，個人線上帳號密碼外流的情形相當嚴重，利用外洩帳號密碼登入後發出劫標信、假交易信、甚至直接綁架帳號等網拍詐欺案例層出不窮，這也迫使業者爭相推出各種新方案來提高帳號安全性、降低詐騙風險。

以雅虎奇摩來說，過去一年多內就推出了登入安全圖章、隱藏拍賣出價帳號、網頁外連警示、郵件認證等服務，如今則是採用了內政部憑證中心與中華電信與RSA合作的新安全機制，企圖徹底解決帳號盜用問題。

而競爭對手露天拍賣，雖未導入外部認證安全機制，但亦推出如登入IP異常警示、第二層交易密碼及異常帳號主動監控等機制，保障登入安全。不過露天暫無採用OTP或自然人憑證等外部安全機制的打算。該公司公關古嘉惠表示，自然人憑證需要搭配讀卡機、動態密碼鎖則需另付費購買，使用上都不夠方便，她表示，露天也才尋求加強登入安全的方法，但會以安全性及方便性兼具的方案為優先考量，「不會立刻採用同類方案，」她說。

中華電信：延伸動態密碼鎖應用範圍

雅虎奇摩此次採用的動態密碼鎖方案並非自行建置，而是採用中華電信去年起推出的網站認證中心服務，並是該服務第一個合作的大型網站。

中華電信是在去(2007)年中首次推出動態密碼鎖認證試用服務，共免費發出一萬個動態密碼鎖供該公司ADSL上網用戶在進行線上交易時使用，當時服務範圍僅限於中華電信自家的線上服務。

經過一年的試營運，中華電信正式與雅虎合作將該服務推向外部網站，未來並打算和更多不同業者合作。中華電信數據通信分公司加值系統處處長鄭鳴岡便表示，除了雅虎奇摩，也正在和許多如電子商務等不同性質的網站接觸，增加單一密碼鎖可搭配認證的服務數量。