密碼就像一把鑰匙，但上鎖後的數據夠安全嗎？大家都該認識的密鑰管理學|數位時代 BusinessNext

現代每個人都會使用各種網站服務，少則數個，多則上百個，彷彿把人的一生展開來，那許許多多的足跡，分散在這些服務裡，就像地窖，藏著一罈罈秘密酒罈。

每罈酒都是愈陳愈香的，通往每座酒窖的鑰匙就成了駭客覬覦之物，也因此，防禦工事逐漸成了顯學。登入密碼就像鑰匙，每座酒窖都記上一組密碼鑰匙似乎是太麻煩了，難道沒有一勞永逸的方案？

打造一把萬能鑰匙：土法自製篇

用同一把鑰匙來開啟每個「酒窖」，恐怕已是最容易卻也最危險的方式了。即使這組自製密碼鑰匙，並非使用蟬聯多年榜首的熱門密碼「123456」，而是採用精心設計的複雜密碼，仍然很可能早已在不知不覺狀況下洩漏出去。

風險上，首先是使用鑰匙開鎖的過程，可能被偷看。在智慧型手機開始風行前幾年，大部分的網站服務是採用未加密的HTTP連線，通常只有注重交易安全性的銀行、信用卡或電子商務網站，才會使用加密連線HTTPS。這意味著只要連上未加密的公共Wi-Fi，就很有可能在登入網站過程中，密碼鑰匙就被看光光了。這就像是把實體信用卡拿出來刷，卻因而讓印有卡號的正面曝露在公開場合下，任誰都能偷拍記下卡號來盜用。

所幸Google領頭大力推動，以及多個組織聯合創立免費的數位憑證認證機構Let's Encrypt，迄今加密連線HTTPS已經是大多數網站的主流規格；換句話說，中間人無法竊聽HTTP網站傳輸資訊，你也可以放心使用公共網路來瀏覽登入網站了！

然而，這雖在使用瀏覽器時可以查看網址開頭，是否為安全性加密連線HTTPS，但在使用手機App時，卻仍無法得知是否為安全連線。至此，只能選擇相信「每個」網站服務，都是精良的門鎖製造商……。

超文本傳輸安全協定（HyperText Transfer Protocol Secure，縮寫HTTPS；常稱為HTTP over TLS），是一種透過網際網路進行安全通訊的傳輸協定，由網景公司（Netscape）在1994年首次提出，隨後擴展到網際網路上。HTTPS主要提供對網站伺服器的身分認證，保護交換資料的隱私與完整性。

圖／ shutterstock

一款優秀的數位門鎖，精妙之處在於，用來打開門鎖的鑰匙刻痕，並無法從門鎖反向推演出來，意即駭客無法只看鎖頭就打造出鑰匙！當代網站服務開發者都應當知曉此原則，後端資料庫不能直接儲存使用者密碼鑰匙的明文，而利用雜湊（Hash）原理，只儲存雜湊處理過後的資料。因此，即使駭客入侵伺服器取得這些已處理過的資料（即門鎖樣式），也無法得知原始密碼鑰匙的樣子。

但是，不時仍會有些中小型網站，並未在這些資訊安全基礎下功夫，甚至使得原始密碼鑰匙隨時可能遭竊，被曝光到網路上，假若不同網站都使用同一組密碼鑰匙的話，就等同其他網站也將遭殃！

最簡單的一種檢核方式是，嘗試點擊「忘記密碼」功能，若系統竟是直接寄出先前設定的密碼內容，便能得知應該遠離這個網站服務。

因此，似乎還是應該記憶多組密碼鑰匙，或是設計一套自己專屬的密碼聯想規則，讓每座「酒窖」都採用不同的密碼門鎖，藉此分散風險——然而，現代人已經這麼忙碌了，這種期待恐怕仍不切實際？

打造一把萬能鑰匙：託管篇

另一種打造萬能鑰匙的方式，便是委託廠商保管一個保險櫃，並由廠商打造不同的密碼鑰匙都放裡面，從此之後只需記憶一組帳號密碼，能進入該廠商的服務專區即可。

常見並流行至今的方法，便是使用Google或Facebook的第三方帳號來登入其他網站，而且只要不登出Google或Facebook的帳號，隨時都可以用來登入其他網站。這種第三方登入機制，對網站開發者來說，可以減少帳號系統開發營運成本，對使用者來說更是方便，確實是相當好的解決方案——若不是後來Facebook爆出各種隱私界限醜聞的話。

2018年底紐約時報披露，在Facebook極力擴張時期，曾私相授受使用者隱私資料權限給特定資訊公司。這篇標題名為《As Facebook Raised a Privacy Wall, It Carved an Opening for Tech Giants》的報導中描述，Spotify與Netflix曾擁有權限能讀取、傳送與刪除使用者的Facebook私人訊息。

2018年年底，根據外媒《紐約時報》報導，Facebook和其他科技公司簽署特殊用戶數據契約，讓他們看得到用戶的聯絡人、好友甚至私人訊息等資料，Netflix、Spotify、微軟和蘋果都在名單中。

圖／ Frederic Legrand - COMEO via Shutterstock

而Apple則在Steve Jobs時期，雖因隱私權政策問題曾暫緩整合Facebook進入iOS，最終則在iOS 6至iOS 10期間納入整合，卻仍被爆出儘管使用者取消了通訊錄與行事曆的分享權限，Facebook仍能取得這些資訊——儘管這幾間公司都聲明，並未知悉曾被授予這等權力，也不會濫權使用。

此外，Yahoo能夠看到朋友即時貼文，Sony、Microsoft、Amazon除了按正途取得使用者的Facebook朋友清單，還獲得「特許」能取得朋友的電子郵件地址，無異於「被上傳」通訊錄。

近年Apple強力主打隱私功能，其中「使用Apple登入」功能在iOS 13重磅登場，透過其特殊市場地位，將強制要求所有支援第三方帳號登入的iOS App，也都必須支援「使用Apple登入」，使用者就能透過這個選項，選擇性不給予或隱藏真實電子郵件資訊，可以說進一步擴張了使用者的隱私權力。

傳統保險櫃的創新未來

最後一種打造萬能鑰匙的方式，是看似最傳統古老的方案：向廠商購入一個保險櫃，自己把所有不同密碼鑰匙都放裡面，然後把保險櫃放在自家空間裡，從此之後，只需妥善記憶這一把能打開保險櫃的主密碼鑰匙即可。

這種傳統保險櫃，便是獨立密碼管理軟體的核心價值觀，也是近年頗具影響力的產品類型——儘管網路瀏覽器普遍內建了密碼記憶功能，但也長期停留在相當陽春的狀態，尤其在手機App成為上網主流渠道之後，受限在瀏覽器內才能用的密碼自動填入功能，更是顯得停滯不前。

由於密碼管理軟體的門鎖機制，便是仰賴主密碼的對稱式加密技術，在第二次世界大戰期間僅為軍方所用，如今已能普及到每個人手上；還能運用更進階的非對稱式加密技術，來安全地與家人朋友共享密碼；再加上自動生成亂數密碼、網站資安事件通報、支援行動裝置的生物辨識、跨裝置同步、加密文件檔案共享等等，單就功能來說這些都稱不上是前沿技術，然而能將這些相關功能，全都整合在一個美觀易用的App上，便是其價值所在。

近代公司組織使用愈來愈多的線上服務或工具軟體，帳號密碼的授權管理也成為一大痛點，因此老牌密碼管理軟體都紛紛推出企業版本，提供內控管理機制，譬如設定安全級別要求、控管密碼鑰匙存取權限等，能為公司內部資安拉起防線，未來將逐漸成為許多公司企業的基礎建設。

圖／ shutterstock

因此，經歷這十幾年來的發展，密碼管理軟體逐漸成為一門產品類型，較為老牌熱門的1Password、LastPass、Dashlane等皆獲得注資或併購，還有不少獨立小廠牌或開源的密碼管理軟體，近年來如雨後春筍般湧出。

最多人會質問的是：把全部密碼交付一個密碼管理軟體，感覺並不安全吧！然而在現實生活中，人們同樣不會把所有財產託付在同一間銀行，也不再把所有現金都提領出來，只鎖在一個保險櫃裡吧？本來就不需要把「全部密碼」交給一個密碼管理軟體。此外，保險櫃都是委由廠商所打造的，要使用就意味著需要信任該廠商，因此資安檢核與品牌營運，當然是重要考量因素。

至於企業領域，隨著近代公司組織使用愈來愈多的線上服務或工具軟體，帳號密碼的授權管理也成為一大痛點，因此這些老牌密碼管理軟體都紛紛推出企業版本，提供內控管理機制，譬如設定安全級別要求、控管密碼鑰匙存取權限等，能為公司內部資安拉起防線，未來將逐漸成為許多公司企業的基礎建設。

打造第二把鑰匙才是最佳解

在真實世界中，為了驗證「酒窖主人」身分真實性，一般來說可以併用三種獨立驗證機制：要求提供主人才知道的通關密碼（Something You Know）、要求提供主人才擁有的秘密鑰匙（Something You Have）、直接由管家辨識主人樣貌（Something You Are）。

對應到數位世界，前兩種方法都可以分別對應到一把密碼鑰匙，第三種「Something You Are」即為生物特徵辨識技術，是基於一般人不易改變的身體特徵，因此往往基於隱私疑慮，會採用專屬的安全硬體機制來處理，而在行動裝置上為求方便易用，通常是設計作為自動填入密碼的驗證機制而已，因此僅是第一種機制「Something You Know」的延伸，並非獨立機制。

前述篇幅所述的密碼鑰匙，皆需「記憶」至少一組帳號密碼或主密碼鑰匙，便是第一種機制「Something You Know」。因此，為酒窖打造第二把鑰匙「Something You Have」，才是最佳解。

概要來說，第二把鑰匙通稱為「Two Factor Authentication, 2FA」，中文譯名眾多：雙重認證、兩步驟驗證、兩階段驗證等等。最常見的方式有SMS簡訊、一次性密碼（One-Time Password, OTP）、硬體安全金鑰等等，各家網站服務支援的類型，可在TwoFactorAuth.org上查詢。

值得一提的是，SMS簡訊雖然是最方便的2FA機制，只需有一支手機號碼即可，但其通訊規格安全性欠佳，可能遭駭客透過欺詐基地台來攔截SMS簡訊（SS7 Attack），美國國家標準與技術研究院（NIST）已經不推薦使用，近年來各大網站服務也順應潮流，推出SMS簡訊以外的驗證方式。

因此，要打造第二把密碼鑰匙，成本最低廉的方式是下載免費的2FA App，譬如Authy、Google Authenticator等等，按照步驟操作即可作為第二把密碼，用來顯示依時間變動的一次性密碼（Time-based One-Time Password, TOTP）。有些網站服務會透過自家App，推送通知到已信任的裝置，用來授權登入，也是既方便又安全的第二把密碼鑰匙。

然而各家網站的2FA支援規格各異，還是太複雜了，因此專屬安全硬體再度登場，譬如領航產品YubiKey這種實體密碼鑰匙，是時下最安全可靠的機制，只需要插入電腦或手機即可作為2FA驗證，這不正是酒窖主人才擁有的秘密鑰匙嗎！

值得一提的是，這種實體密碼鑰匙也常提供NFC無線驗證的方式，更加方便了；至於藍牙無線驗證則是安全性與穩定性欠佳，並不推薦使用。

一切都是信任，信任從不簡單

在數位時代中，密碼鑰匙已經成為守護數位資產、甚至是金融服務存取權的重要關卡。每個人走過的數位足跡，也確實都是具有經濟價值的數位資產，只是並不在本文討論範圍內。因此，若人們願意花時間研究理財或管理資產，那麼也同樣值得妥善運用各種密碼鑰匙的設計，為自己規劃管理個人數位資產。

最後，讀者們或許也發現，傳統金融機構早已採用這3種獨立驗證機制：金融卡密碼（Something you know）、金融卡（Something you have）、臨櫃驗證身分（Something you are），而近年流行的密碼貨幣（例如比特幣），則在原始的匿名架構設計上，僅採用了一種獨立驗證機制：錢包私鑰（Something you have），這樣的代價便是無法支援多重驗證或錢包復原機制，而僅能由第三方（譬如交易所）來提供。

這是否終將走回傳統金融的老路呢？然而密碼貨幣的衝擊風潮，也加速了開放金融的推行，展望未來的金融科技將繼續蓬勃發展，別忘了這一切仍根基於使用者與網站服務，如何去妥善運用這些密碼鑰匙來管理個人數位資產。

責任編輯：張庭銉

翻開 Pinkoi 名片背後，一句簡潔的「Design the way you are」映入眼簾，這正是 Pinkoi 共同創辦人暨執行長顏君庭創立公司的初衷：希望每個人都能用好的設計，實踐獨特的自我風格與生活樣貌。近年來， Pinkoi 不僅成功將設計生態圈拓展至國際，也串接 AI 引擎服務，成功以科技力搶攻消費者心佔率，讓跨境銷售零距離。

擁抱科技力，Pinkoi 自建 AI 模型極致個人化體驗

2011年發跡於台灣的 Pinkoi，產品聚焦於生活風格及設計相關，如今已是擁有超過625萬名會員的國際電商平台，設計館來自全球77個地區、消費者遍及全球150個國家。為搶攻全球文化創意產業商機，去年底， Pinkoi 搭上 AI 科技浪潮，正式推出「生活風格智慧模型」，以大規模個人化為主要場景，打造個人化商城，讓設計師得以更有效率的行銷商品。

「自建 AI 模型，就是為了打造獨特的個人化體驗。」出身美國矽谷科技業的顏君庭，談起自家創建的 AI 服務，眼神閃爍著光芒。他指出，「 Pinkoi 站上以設計品為主力，而設計品常常是各國民眾的興趣、風格、價值主張、地域性文化的延伸，所以相較於一般電商，我們更需要深入經營在地市場，了解設計師與消費者的需求。」

透過自建 AI 模型，不僅讓 Pinkoi 業績大幅成長，消費者在平台的瀏覽時間也提升近三成、創造1.5倍的商品點擊率，有效提升品牌黏著度。顏君庭笑稱，日本市場對於 Pinkoi 甚至有「沼る」的美譽，盛讚平台商品獨特、令人忍不住著迷而長久駐足。

智慧即時翻譯、筆記智慧助理跨國商務人士最得力的行動幫手

對新科技趨之若鶩的顏君庭，近期則對三星電子最新推出的智慧型手機深深著迷，它就是首款結合全方位 Galaxy AI 應用的 Samsung Galaxy S24 旗艦系列。

身為跨境電商平台的領導者，顏君庭經常需要走訪世界各地，最近剛結束日本差旅的他，直言 Samsung Galaxy S24 Ultra簡直是他的「貼身得力助理」。

「智慧即時翻譯的功能，真的是領先所有同業的最大亮點！」顏君庭表示，不會日文的他，過去在日本如果要打電話訂餐廳、旅館，都需要請朋友或同事幫忙，或是透過其他翻譯軟體來回轉譯，過程十分曲折。

「這次去日本有 Samsung Galaxy S24 Ultra，我可以直接按手機通話，開啟翻譯功能，我講英文，對話就會直接翻譯成日文，對方回應日文，也會轉回成英文，等於我們可以直接溝通，這點完全解決過去一直無法被解決的痛點，」顏君庭興奮地說道。

『智慧即時翻譯』與『智慧自動摘要』功能，對時常參與跨國團隊會議的顏君庭，更是省時省力。他指出，雖然團隊主要溝通語言為英文，但有些交流討論常會運用到日文、韓文等多國語言，「如果請一個即時口譯，對公司的營運成本來說非常高，請同事翻譯，頂多也只能簡譯。有了 Samsung Galaxy S24 旗艦系列，我們可以把對話錄下來，透過 AI 即時翻譯成指定語言的文字，好像大家即時的聊天、參與討論。」

「這對帶領跨國團隊很有幫助，有時用自己的母語討論，更能直接的表達想法，有效增進團隊的情感凝聚力，」顏君庭說。

筆記智慧助理也是日理萬機的顏君庭很喜歡的功能，他表示，每天要閱讀的文件相當多，現在只要輕輕觸碰手機螢幕幾下，就能快速獲得資料的精簡版本，筆記智慧助理還會自動排版、校正拼音，甚至在內文上方生成條列式的摘要，亦可將手寫字轉為文字，自動排版、生成重點摘要，將重要訊息直接佈達給團隊執行，「幫我省下很多時間。」

搜尋圈，一圈即搜：助力Pinkoi團隊精簡工作流程

Samsung Galaxy S24 旗艦系列對於審核 Pinkoi 平台產品，更是如虎添翼。顏君庭表示， Pinkoi 對於產品審核非常嚴格，從設計本身到圖片拍攝，都要求出自設計師原創。因此，每當設計師上架產品，團隊須將圖片投遞到不同的平台，透過「以圖搜圖」的方式，確認有無相似物件。

「現在不用這麼麻煩了，我直接用 S Pen 觸控筆圈起 Samsung Galaxy S24 Ultra 上的圖片，就可以立即搜尋，」他笑著說：「剛開始拿到S Pen 還有點納悶，因為使用經驗停留在過去，但實際使用才發現，意外的好用！」

顏君庭表示， Pinkoi 站上商品多達110萬項，內部會議討論時，有時沒辦法很精確的說出品牌或風格，透過 Samsung Galaxy S24 旗艦系列「搜尋圈」一圈即搜的功能，就可以很快速找到商品的細節，或類似的品項，讓團隊得以更快速聚焦討論。

極致攝影超強續航力捕捉靈感不斷電

創業這10餘年來，顏君庭還是保有實地探訪台灣、各地市集的習慣，他也喜歡以手機拍攝，紀錄新發現的品牌或設計概念。「 Samsung Galaxy S24 Ultra 拍照的內建相機非常厲害，白天晚上都不需要用到濾鏡，」顏君庭也分享智慧相片編輯的妙用，他指出，差旅移動中隨手拍照，常常會拍到不想要的物品或背景，這時只要用 Samsung Galaxy S24 旗艦系列內建的生成式相片編輯功能，輕鬆選取物件，即可移動或擦除， AI 還會自動填充背景，「完全不用擔心照片拍得不好。」

此外，顏君庭也分享長途差旅的重要需求，他表示，由於海外出差行程滿檔，經常是清晨六點到深夜的行程，旅途中還需要拍照紀錄、開線上會議、收發即時通訊等，常因爲忘記帶手機充電線，需要跟店家開口要求幫忙充電，「 Samsung Galaxy S24 的高續航力也解決這個痛點，一整天高度使用竟然都還有電，讓我很放心。」

Samsung Galaxy S24 的簡潔設計，也讓他印象深刻。「我很喜歡 S24 超窄邊框的設計，讓整個手機畫面更清晰，不會被邊框干擾。」而深紫色的新色也十分特別，顏君庭分享到，「礦物在華人文化中有特別的寓意，例如這次拿到的深紫色非單調的色塊，而是帶有類似紫水晶的礦物感，也有點帶來事業與生活上的好運，整體設計很時尚，很符合商務人士的需求。」