臺灣證券交易所 文刊中心

現實生活中，人們對於資產有各式各樣的保護方式，以避免自身的資產遭到不當的使用甚至是竊取，例如住家及車輛使用的門鎖與鑰匙，而在現代生活中，越來越多的事物經過數位化，並且透過網際網路進行保存、處理及使用，包含各式各樣的資產及服務，從網路銀行、網路證券交易等重要資產，到網路串流影音、網路社群平台等一般線上服務，任何的個人數位資產或網路服務在被存取之前也都應該確認存取人的身分，以保護個人的權益不受到侵害。

身分安全驗證就如同住家或車輛的門鎖與鑰匙，在數位世界中則是用來保護資訊系統、數位資產或網路有價服務不被未授權的人所存取利用的方法，而最常見的數位身分安全驗證方法即為人們所熟知的「帳號與密碼」，一般而言，帳號與其所對應的密碼僅由其擁有者所知，故透過檢查被輸入的帳號與密碼來驗證存取者是否為擁有者，可以一定程度的確保帳號內的資產不被第三人所存取。

隨著身分安全驗證方法與技術的發展，主要可以將驗證的主體因子分為三類如下：

1. 所知：身分擁有者所知道的特定資訊，常見如密碼、身分證字號、生日等。
2. 所有：身分擁有者所持有的實體物品，常見如IC晶片卡、USB金鑰、RFID感應卡、手機等。
3. 所為：身分擁有者所具有的生物特徵，常見如臉部特徵、指紋、虹膜、語音聲紋等。

以上三類身分安全驗證的主體因子各有其優缺點，如應用最為廣泛的密碼驗證，雖然易於保存及使用，但卻有容易遺忘或外洩的風險；而普及性也很高的IC晶片卡雖不若密碼容易透過網路洩漏，卻需要特別妥善的保管及攜帶；另外，越來越常見的生物特徵驗證，儘管同時具有前二者的優點，仍面臨特徵改變、驗證精準度及成本等問題。

安全與便利向來都是難以兼顧的兩個面向，因此，如何有效保護重要資產的安全，同時讓擁有者方便輕鬆地使用及管理資產，需要妥適地評估資產的重要性及風險程度，以選擇可行的身分安全驗證方法，或搭配其他安全管控措施，使安全及便利能夠盡可能達到最佳的平衡。

回顧國內證券業近年與身分安全驗證相關之資安重大事件，影響程度最高的事件當屬110年11月的「撞庫攻擊」事件，事發當下多家證券商陸續發現複委託下單系統受到駭客入侵，使部分客戶之帳戶遭不明人士冒用，進行複委託下單買入大量香港交易所股票，數家證券商因此承受金額不等之損失。

撞庫攻擊（Credential Stuffing Attack）的基本概念為駭客利用其所蒐集的大量個人資料、帳號及密碼等資訊，針對可能有對應用戶的網站或其他網路服務系統，以自動化方式進行快速且大量的試探登入行為，如有發現可成功登入之帳號，則立刻冒用該帳號進行非法行為謀取不當利益或造成他人損害。一般而言，此種使用大量的身分驗證資料對多個不特定的目標系統進行試探性登入的惡意攻擊行為即可稱為撞庫攻擊。

110年11月國內證券業遭受大範圍撞庫攻擊時，受攻擊之各證券商即立刻停止遭受攻擊之複委託電子交易服務，改採人工下單方式提供交易服務，雖暫時阻斷了駭客的攻擊途徑，惟駭客盜用帳戶下單之香港交易所股票仍已有相當大量的成交，臺灣證券交易所於接獲證券商通報資安攻擊事件時，亦第一時間要求全體證券商，檢視各網路交易系統提供客戶取得憑證之驗證防護機制安全性是否足夠，如驗證機制安全性不足(如僅要求輸入身分證字號、生日、預設密碼等簡易資訊)者，應立即停止提供憑證並修改系統驗證防護機制。

此外，亦指示全體證券商清查近期兩週內有更新憑證之客戶，並與客戶確認是否為本人所為，如非本人所為則應立即暫停該客戶之電子交易服務，並協助客戶本人取回新憑證後始得恢復使用電子交易。最後，臺灣證券交易所並提醒全體證券商應持續注意客戶帳戶之異常登入情形，如發現異常登入態樣應即時確認原因，以避免帳戶遭駭客冒用，維護市場交易之安全。

有賴於本國證券業的資安聯防機制，在撞庫攻擊事件發生時，從通報、應變到全面處理及後續預防，市場整體影響範圍得以受到有效的控制而不再擴大，另一方面，撞庫事件同時也凸顯出「身分安全驗證」在電子交易中的重要性，以及證券業所面臨的個資保護風險，在當時迫切需要重新評估並增加更全面更安全的防護，以因應新興科技帶來的資安威脅對市場數位化發展的影響。

隨著國內證券市場電子下單比率近年來的高速增長，臺灣證券交易所對於證券商電子下單系統之身分安全驗證機制的安全性要求亦持續加強，經過110年發生的撞庫攻擊事件後，更對於網路交易身分安全驗證的兩大管控重點「多因子驗證」及「異常登入行為監控」訂定明確的規範，強化證券商電子交易系統對於帳戶安全的防護力，以避免駭客冒用帳戶進行非法交易之情形再次發生，提升整體交易市場的安全及穩定。

依臺灣證券交易所發布之「證券商內部控制制度標準規範」(經金融監督管理委員會證券期貨局同意照辦)，證券網路交易身分安全驗證相關之現行規範如下：

• CC-17000 通訊與作業管理

    (三)、網路傳輸安全管理：

1. 網路下單畫面應採加密方式(例如：SSL)處理。
2. 公司應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號嘗試登入紀錄等進行監控及分析，發現有帳號登入異常情事(如密碼輸入錯誤達三次、一定時間內大量帳號登入失敗、帳戶申請或更新憑證下載異常)，應即時了解異常原因，並留存相關紀錄。
3. 公司提供網路下單服務，應於網路下單登入時採多因子認證方式(例如：下單憑證、綁定裝置、OTP、生物辨識等機制)，以確保為客戶本人登入。

    (四)、CA認證與憑證管理：

1. 網路下單證券商應訂定憑證交付程序，避免非本人取得憑證。客戶申請或更新憑證下載，必須採用多因子(如：下單憑證、綁定裝置、OTP、生物辨識及SIM認證等)驗證方式，且與登入帳戶時使用之因子不同，確實辨認客戶身分並留存紀錄。
2. 網路下單應全面使用認證機制。

    (十)、帳號登入或異常態樣通知：公司對於客戶帳號登入時宜進行通知，如有符合以下異常態樣應即通知

               客戶，並留存紀錄，避免非客戶本人登入情事：

1. 密碼輸入錯誤或帳戶被鎖定。
2. 申請或更新憑證。
3. 變更基本資料。
4. 異常來源或行為嘗試登入等。
5. 密碼申請異動或補發時。

    (十一)、異常IP登入之監控與預警：公司應依其所屬資安分級對異常及不明來源IP連線進行監控分析及留存

                    紀錄，如有發現下列情形，應設有警示機制，並定期檢視以確認機制有效運作：

1. 同一來源IP登入不同帳號達一定次數以上。
2. 同一帳號在一定時間內由不同國家登入。
3. 發現異常來源 (如金融資安資訊分享與分析中心F-ISAC公布之黑名單或國外IP)嘗試登入。

• CC-18000 存取控制

    (三)、密碼管理：

1. 使用者申請使用代碼時應於接到使用許可後立即更新密碼。
2. 初始密碼應隨機產生，並與使用者身分無關。(本項不適用採自行訂定交付電子式交易密碼條之方式)
3. 密碼輸入錯誤次數達三次者，應予中斷連線且鎖定該帳號，並留存紀錄。公司於接獲客戶聯繫申請解除鎖定時，應確實辨認身分(如聯繫客服驗證基本資料、OTP、臨櫃辦理等方式)，並留存相關紀錄後，始得辦理之。
4. 對因忘記密碼而無法登入系統之使用者或客戶申請核發原密碼時，應採取嚴格確認其身分及核發程序後(如聯繫客服驗證基本資料、OTP、臨櫃辦理等方式)，方可開放其使用系統。
5. 除語音按鍵下單外，公司應使用優質密碼設定（長度六個字元（含）以上，且具有文數字或符號）並進行管控，及加強宣導客戶定期更新密碼以不超過三個月為宜，如客戶密碼超過一年未變更或變更密碼與前一代相同，公司應做妥善處理。除客戶外，公司其他使用者之密碼應至少每三個月變更一次。
6. 檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作業系統及資料庫等軟硬體設備應設定使用密碼，且避免使用預設(如administrator、root、sa)或簡易(如1234)之帳號密碼及未設管理者存取權限。
7. 為防止密碼洩漏，應採取不顯示、不印錄等措施。
8. 客戶申請採電子式交易型態者，公司得以一般電子方式交付或自訂交付電子密碼條，並依下列說明辦理：

         (1)、(2)、(3)適用於一般電子方式，(4)、(5)、(6)、(7)適用於自訂交付方式。

         (1)、客戶應於聲明書中聲明同意以電子方式交付電子密碼條。

         (2)、公司業務人員應確實辨認客戶身分，並確認其手機號碼及電子信箱為本人使用。

         (3)、傳送OTP(One Time Password)密碼至客戶開戶留存之手機號碼，及將加密後之電子密碼條以電子方

                  式傳送至客戶留存之電子信箱，客戶需以OTP密碼解密方能取得密碼，此流程相關系統紀錄應留存。

         (4)、應訂定交付電子式交易密碼之作業程序。

         (5)、應確實辨認電子式交易密碼交付對象為本人並留存相關紀錄。

         (6)、應訂定電子式交易密碼交付流程與安全控管機制相關內部控制制度。

         (7)、密碼管理應使用優質密碼設定（長度 6個字元（含）以上，且具有文數字或符號），並加強宣導客戶

                  定期更新使用者密碼以不超過三個月為宜。

現行規範透過「多因子驗證」的要求，直接強化登入電子交易系統當下的身分驗證安全性，使駭客即便取得客戶的機敏資訊仍無法登入進行冒用，確保僅有帳戶擁有者能夠登入帳戶，並搭配「異常登入行為監控」機制，由證券商檢視電子交易系統是否有可疑的登入情形，以即時發現任何可能的帳戶盜用行為，並快速地做出應變處理，避免後續影響範圍擴大。

統計國內證券業資安事件，自110年11月撞庫攻擊事件後，迄本(113)年5月止仍尚未有類似之駭客攻擊成功案例發生，顯見本國證券業電子交易系統在現行規範所要求的安全控制措施下，身分安全驗證機制已具備相當程度之安全性。

網路身分安全驗證相關的技術領域在COVID-19疫情擴散全球時，隨著數位化及網路使用需求一同高速增長，然而保護使用者帳戶安全除了強化系統的身分安全驗證機制外，增加整體網路安全設備及工具的縱深防禦架構，如建置入侵偵測與警示系統（IPS）、網頁應用程式防火牆（WAF）及資安事件威脅偵測管理平台（SIEM）等網路資安防禦系統，以阻斷駭客的網路攻擊鏈 (Cyber Kill Chain)，亦能達到提升使用者帳戶安全性的效果。

未來在AI技術及量子電腦的發展下，可預期駭客在身分偽冒及加密破解方面的能力亦將持續加強，現行的網路身分安全驗證技術將面臨更大的威脅，使用者的帳戶安全除了在登入驗證的環節仍需持續強化外，為避免帳戶遭到駭客冒用，將需要從更多面向提升網路身分安全驗證機制的有效性，有鑑於此，金融監督管理委員會於112年10月發布「金融服務業辦理數位身分驗證指引」，參考國際標準ISO 29115 (Entity authentication assurance framework)，對金融服務業辦理數位身分驗證作業建立了跨業共通性語言及應用原則。

依據指引內容，所謂數位身分驗證機制即包含「身分登錄（identity enrollment）」、「信物管理（credential management）」及「身分驗證（identity authentication）」三個階段，現行之證券網路交易身分安全驗證相關規範，重點在於控制「身分驗證」階段所面臨的風險，而未來面對駭客利用新興科技所帶來的威脅，「身分登錄」及「信物管理」這兩個階段的安全管控機制將會是規範精進與實務強化的重點發展方向之一。