免費開始練習
司法三等申論題 105年 [檢察事務官電子資訊組] 資通安全

第 一 題

📖 題組:
身分認證(authentication)在資安防禦裡是一項基本重要的防禦機制。傳統利用使用者名稱(Identifier, ID)及密碼(password)的方式,很容易被竊取而造成資安的一大漏洞,且在犯罪偵查過失責任上很難釐清是否為本人或是竊取者所為。一種比較嚴謹的身分認證方式稱為多重因子身分認證(multi-factor authentication, MFA)。
📝 此題為申論題,共 3 小題

小題 (一)

請說明多重因子身分認證的設計主要是考量那三項資料性質,其綜合資訊比較能夠充足地認證使用者的真實身分?每一項資料性質請舉出至少兩個實例。(21 分)

思路引導 VIP

看到MFA,應立即聯想CISSP身分鑑別(Authentication)的三大核心因子:所知(Knowledge)、所有(Possession)、所是(Inherence)。答題時除了精確定義並舉出實例外,務必結合「不可否認性(Non-repudiation)」說明其在犯罪偵查中如何強化證據力與釐清責任歸屬。

🤖
AI 詳解
AI 專屬家教

【破題】 多重因子身分認證(Multi-Factor Authentication, MFA)的核心概念在於結合兩種或兩種以上不同性質的鑑別因子。其『設計目的』為解決傳統單一密碼易遭竊取之風險,透過多維度驗證『技術實作』,大幅『提升安全性』與鑑別(Authentication)強度,並在犯罪偵查實務上強化不可否認性(Non-repudiation),有效釐清法律責任歸屬。 【論述】

小題 (二)

目前電子商務在實務操作對使用者身分認證,廣為採用在該認證事件發生的當下用動態產生一辨識碼(access code),送到宣稱的使用者手機或是電子郵件信箱,使用者必須輸入該辨識碼以確認身分。請問這種做法是屬於(一)小題中三項資料性質的那一種?(4 分)

思路引導 VIP

考生看到此題應立刻聯想多重因子身分認證(MFA)的三大核心因子:知識因子(What you know)、持有因子(What you have)與生物因子(What you are)。接著分析接收動態密碼(OTP)的本質,系統驗證的是使用者是否實質控制或擁有該接收設備(手機或信箱),進而準確歸類並闡述其資安與法律證據力意義。

🤖
AI 詳解
AI 專屬家教

此種做法屬於身分認證三項資料性質中的「持有因子」(Something you have / Possession factor)詳細解析如下:

  1. 定義與原理:此機制在實務上稱為一次性密碼(One-Time Password, OTP)。雖然使用者最後輸入的是一串數字(看似知識),但該機制設計的「驗證核心」,是確認使用者是否「擁有」並實質控制預先註冊的接收載具(如持有具備該門號 SIM 卡的手機,或擁有該電子郵件信箱的登入權限)。

小題 (三)

承(二)所提的做法通常會限制例如:使用者必須在三分鐘內回應輸入送至手機或是電子郵件的辨識碼。請問這樣的做法的目的為何?(5 分)

思路引導 VIP

看到此題應聯想到一次性密碼(OTP)的生命週期與時間視窗(Time Window)概念。作答時須結合資安基本原則,從防範重放攻擊(Replay Attack)、縮減遭竊利用時間,以及確保存取當下不可否認性三個層次(設計目的、技術實作、安全性提升)進行論述。

🤖
AI 詳解
AI 專屬家教

【破題】 限制辨識碼輸入時間(如三分鐘)的核心概念為「時間視窗」(Time Window)管理與「一次性密碼」(One-Time Password, OTP)的生命週期控制,主要目的在於大幅縮減攻擊者可利用的機會與時間。 【論述】

📝 同份考卷的其他題目

查看 105年[檢察事務官電子資訊組] 資通安全 全題

升級 VIP 解鎖