新加坡政府取消使用實體密碼器作為SingPass的雙重認證辦法

在新加坡,民眾可透過SingPass獲得超過200個政府部會的電子服務,SingPass是新加坡個人存取系統,以單一密碼登入新加坡政府數位服務,包含申辦護照、申請醫療處方箋、處理個人稅務等。

2016年時新加坡政府推行過SingPass雙重認證(two-factor authentication,2FA)以加強資安保障,當時雙重認證要求使用者在實體密碼器(OneKey Token)中輸入一次性密碼(OTP,如下圖)。

(圖片來源: Government Technology Agency of Singapore

然而現在新加坡政府宣布取消這個僅剩2%使用者作為雙重認證的實體密碼器,今(2020)年10月份後將不再發行這個密碼器,明年開始則將全面停用這項工具。

新加坡政府鼓勵人民取而代之使用的雙重認證法,是政府自2018年發行的SingPass Mobile app,這個app使用指紋、臉部辨識或是六位密碼作為登入方式,加上手機簡訊雙重認證法,目前一共有98%的使用者以上述方式來登入SingPass,一旦取消實體密碼器之後,可望使數位化登入達到100%。SingPass Mobile app除了可以登入政府服務之外,還能登入一些私部門的服務,例如保險或是新加坡雇主聯合會(Singapore National Employers Federation,SNEF)網站上的一些入口。

無法使用SingPass Mobile app的用戶可用簡訊作為二次認證,雖然美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)2015年時曾建議簡訊認證並不安全。

原文連結:The Register

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *