工商社論》現代人的密碼惡夢如何解
工商社論
根據金管會2019年「普惠金融衡量指標及達成情形」,臺灣每十萬成年人行動支付交易筆數153萬筆、每千成年人擁有的數位存款帳戶數爲332個,15歲以上民衆使用電子支付比率爲68.1%;證券市場平均電子式交易成交筆數比重70.82%,期貨市場平均電子式交易成交筆數比重95.62%。
國銀數位存款帳戶截至2021年底達約1,047萬戶,較2020年底646.3萬戶大增約400萬戶或62%,一舉突破千萬大關。截至2021年底已有35家實體銀行、兩家純網銀開辦數位存款業務,其中,開業未滿一年的樂天國際商業銀行、連線商業銀行(LINE Bank)兩家純網銀業者共有80萬數位存款帳戶。將來銀行則計劃今年3月開業。
除了三家純網銀,金管會在積極放寬網路投保業務外,也計劃開放純網保;再加上各式基金平臺和電子下單交易,臺灣的數位金融市場可說是百花齊放、邁向成熟,但在此同時,資安的防護力能不能和金融科技同步發展,成爲格外值得注意的問題。
金管會最近宣佈的兩個政策,一是因應盜刷問題,要求銀行信用卡刷卡簡訊通知由5千元降至3千元;另一則是針對駭客攻擊事件,要全體券商通知國內約1千萬名電子下單戶必須更換密碼。從這兩件事,可以發現一個現象,就是金融交易日益便利的同時,個人財產曝露在被有心人利用高科技攻擊而蒙受損失的風險也比過去大了很多。另一個問題則是,除了金融機構本身的安全系統持續升級,多數業者也會要求客戶透過增加生物辨識、雙重驗證機制和更換密碼等多種方式來提高安全度。
但是回到現實面,密碼已經成爲現代人的惡夢之一,除了電子郵件、社羣平臺、網路購物需要密碼,手機雲端硬碟、各式網路金融服務如網銀、基金平臺、電子下單等也都要密碼,有的密碼可以純數字,有的規定要含英文,有的更規定要含大小寫英文,密碼字數的設定則從6碼到8碼都有,還有機構會規定密碼和個資如出生年月日、身分證字號、信箱名稱等不得雷同,也有規定是同樣一組密碼就算變更,一年內都不得再重複使用。總之,對於密碼設定的規則多如牛毛,且每家業者不盡相同,使得很多人看到「請輸入密碼」就冷汗直冒,不少人更必須用筆記本來記載各式的密碼。
當然,出於保護消費者的立場,業者提高對密碼設置難易度的要求,並沒有錯。但各式電子交易的本意是便利性,如果因爲密碼設置和記憶難度過高,導致連要使用該系統都困難重重,就有點失去便利性的原意了;另一個問題是,如果密碼難記到要另外用筆記本或手機記事本來記錄,萬一筆記本或手機遺失,所有密碼都在上面,某種程度是不是反而更不安全,也有違設立密碼最初的安全原則。對於各種系統,密碼確實已成不可缺少的一部分,但駭客如果連繫統都可以攻破,密碼只是最初級的保護,設置要求實在不必過於苛刻,還是應以民衆方便記憶爲主。
再說生物辨識,比起密碼可說人性許多,例如臉部辨識,除了疫情期間因爲需要脫口罩而略顯麻煩,原則上只要沒有去整型整到面目全非,至少不必苦記密碼就能順利登入;指紋辨識和聲紋辨識也是常見的生物辨識方式,同樣也較輸入密碼簡單好用。不過,大部分電子裝置上的生物辨識都有一個共同的問題,就是一旦該設備(如手機或平板)老舊或遺失而要換新設備,所有的生物辨識都必須先回到輸入密碼的原點,登入後才能重新設置;有時服務端(如網銀、券商)系統調整,也會要求先用密碼登入後再重新設置,也就是,最終密碼還是掌控能不能順利登入使用系統的關鍵。
過去很有名的一句廣告詞叫「科技始終來自人性」,雲端時代,電子化使得生活中很多大小事都在網路進行,密碼等於是通行證,這張通行證安全與否很重要,但如果通行證取得難度過高,反而會讓通行證變成擋路樁,因此主管機關在宣導民衆應定期更換密碼的同時,也應檢視業者對密碼設置要求是否過於嚴苛,例如一年內不得重複使用同一組密碼的要求,反而可能使很多人因爲怕沒這麼多密碼可使用,或擔心記不住太多組密碼,反而不願常更新密碼,這樣的結果猶如因噎廢食,也不符合大部分使用者利益。
況且說到底,資安防護的重點還是在企業,銀行和券商的資安系統更是重中之重,金融機構系統如果出包或被駭客入侵,使用端的民衆就算密碼設的再刁鑽嚴謹也是枉然。反過來看,只要業者的驗證機制和資安系統有效,消費者只要善盡保管好本身密碼如不外泄、定期更換等即可,沒有必要也不應揹負所謂避免資安風險的責任。因此,主管機關與其盯業者是不是有叫消費者改密碼,重點還是應該回到定期考覈業者的資安防護能力是否足夠。
在此同時,希望主管機關可以對密碼設置有較統一的要求,例如請業者必須提示「本密碼爲幾碼並含英數大小寫」,至少可讓民衆比較方便回憶,而不是望着登入鍵興嘆,或不停按「寄件找回密碼」,畢竟安全重要,方便也很重要,否則失去便利性的網路活動相較實體也就沒有太大的優勢可言。