Home » 2006 » November

Two-factor authentication

工具要正確的被使用才有效果。

傳統只輸入密碼的方式有時被稱做 One-factor authentication,因為 是指兩種以上的認證,通常是透過 USB 外接 讀卡機用卡片另外做認證。

美國網路銀行將身份檢查的部分改用 進行認證,希望可以對抗 Phishing (網路釣魚)。問題這樣還是會受到 Man-in-the-middle-attack 與 Trojan (木馬) 的攻擊。

作為 的架構來說,Man-in-the-middle-attack 攻擊是在使用者瀏覽釣魚頁面時去原來的網路銀行上抓 所需要的 Message,傳給使用者後讓使用者認證。使用者認證完 (密碼以及 對 Message 的數位簽名) 送回釣魚頁面,釣魚頁面再送回原來銀行網頁,完成認證的動作,接下來開始把錢轉帳到其他戶頭去。這也就是 這篇 Fighting Fraudulent Transactions 提到美國銀行以及政府所使用的 無法保護使用者。

但這並不是 有問題,而是因為把 用在錯的地方上。台灣的網路銀行在這點上面做的 就是正確的方式。

以「轉帳」為例,你必須有一台 讀卡機,由銀行產生 Message (在裡面會包括要轉出的戶頭,以及轉入的戶頭,金額,以及一個流水號),讓晶片卡去這個 Message,然後傳回網路銀行驗證。

重點在於 必須用在每個交易動作上,而不是只用在一開始的認證:

The solution is not to better authenticate the person, but to authenticate the transaction. (Think credit cards. No one checks your signature. They really don't care if you're you. They maintain security by authenticating the transactions.)
(解決的方法並不是尋找更好的方法「驗證使用者」,而是「驗證交易本身」。想想信用卡怎麼做的,沒有人會檢查你的簽名,他們根本不在乎是你本人,因為他們是透過信用卡對每一項交易動作進行認證,以維護安全。)

GraphViz

上看到有篇文章在講 的用法:Automate the creation of graphs with Graphviz,拿前幾天用 畫的 架構再畫一次:

(點進去看最大張的圖)

附上 d2.gv,上圖是用 dot -Tpng -o d2.png d2.gv 產生出來的:

digraph G {
    "D2 E-mail System"->{"Users" "Department"};
    "Users"->"Basic Data";
    "Users"->"Student Number";
    "Users"->"Student Department"->"Department";
    "Users"->"Username";
    "Users"->"Password";
    "Users"->"Forwarding E-mail";
    "Users"->"Quota";
    "Users"->"Creation Date";
    "Users"->"Creation IP";
    "Users"->"Last Login Date";
    "Users"->"Last Login IP";
    "Basic Data"->"ID";
    "Basic Data"->"Real Name";
    "Basic Data"->"Permanent Address";
    "Basic Data"->"Permanent Telephone";
    "Basic Data"->"Contact Address";
    "Basic Data"->"Contact Telephone";
    "Basic Data"->"Mobile Telephone";
    "Department"->"Number";
    "Department"->"Abbr";
    "Department"->"Description";
}

Zooomr 的上傳

多張檔案上傳 (用 Browser) 一直是 沒解決的問題,每次選了五六個檔案傳,就發現只傳了兩張上去,而且兩張都一樣的... (都是第一張)

其他家 () 就沒有這個問題... 用 感覺上很像在用無賴小站國際版... :p

置入性行銷 2.0

這篇 網摘,還是置入性行銷2.0? 說:

(11/24補)真的知道什麼叫naked conversation嗎??真的知道怎麼透過blog結合新聞聯播與網摘嗎?知道什麼叫做部落格行銷的地雷嗎?如果不知道又要怎麼去當人家的老師呢?難道真的要這顆地雷徹底爆炸嗎?

(原文有附上圖,我這邊就不連了)

這群人是把網路當作生財工具,只要不犯法,什麼都能做,什麼都會做。就如同記者,是以最低的標準約束自己,以最高的標準批評別人。

Archives