跳到主要內容

Knowledge-Based Authentication 的安全隱患:社群媒體時代下知識型身份驗證的脆弱性分析

開場引言

當你忘記密碼,系統問你「母親的娘家姓氏?」時,這道防線其實早已千瘡百孔。Knowledge-Based Authentication(KBA) 在社群媒體普及的今日,已成為最容易被攻破的身份驗證機制之一。

KBA 的運作原理與先天缺陷

KBA 分為兩種形式:靜態 KBA(Static KBA) 要求使用者預設問題與答案;動態 KBA(Dynamic KBA) 則從公開資料庫動態產生問題。靜態問題如「您的寵物名字?」或「就讀的小學?」,答案幾乎都能在 Facebook、Instagram 等平台的貼文或個人資料中找到。問題集本身的答案空間(Answer Space)極度有限,攻擊者透過暴力枚舉即可快速命中。Dynamic KBA 雖然較難預測,但其資料來源(信用紀錄、公開戶籍)同樣可能遭到洩露或偽造。

社交工程與資料探勘的雙重威脅

攻擊者通常採取兩種路徑。第一是社交工程(Social Engineering):透過 LinkedIn 確認就業史、從 Instagram 找到寵物名字、從公開婚禮邀請取得配偶名字。這些資訊拼湊成完整的 KBA 答案庫,幾乎不需要任何技術手段。第二是資料探勘(Data Mining):歷年大型資料洩露(如 Equifax、Yahoo)已將數億筆個人資訊公開於暗網,攻擊者可直接比對目標的 KBA 答案。NIST SP 800-63B 已明確指出,KBA 提供的安全保證極低,不建議作為主要驗證因子。

💡 重點整理

  • 答案可預測性高:靜態問題的答案空間小,暴力枚舉成本極低。
  • 社群媒體即攻擊面:公開個人資料等同主動洩露 KBA 答案。
  • 資料洩露加速淪陷:暗網資料庫讓 KBA 答案幾乎人手可得。
  • NIST 已不推薦:應改用 MFA、FIDO2 等更強韌的驗證機制取代。

結語

KBA 的設計邏輯源自「只有你知道答案」的假設,但這個假設在社群媒體時代已徹底崩潰。以 FIDO2、硬體金鑰或行為生物識別取代 KBA,才是現代身份驗證的正確方向。

📚 參考文獻

  1. NIST Special Publication 800-63B — Digital Identity Guidelines: Authentication and Lifecycle Managementpages.nist.gov
  2. OWASP Authentication Cheat Sheet — 涵蓋 KBA 弱點與替代方案建議(cheatsheetseries.owasp.org

⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。

留言