害怕自己在網頁輸入的資料洩漏出去嗎?資安問題漏洞百出,防不勝防,現在,資料出現了另一個保護方法!

  • MIT 的研究員:許多網路服務應重新設計資安機制

MIT 的研究員 Raluca Popa 認為許多網路服務「應該要」且「能夠」重新設計他們的資安機制來杜絕這樣的現象。Popa 所開發的系統稱作 Mylar,為了能夠落實「沒有值得信任的伺服器」的想法所建立的網站服務,藉由伺服器加密維護資料,並只能在使用者的電腦內解密。

「你不會注意到這會有什麼差別,但在進入伺服器前,你的資料會受到加密保護,必須在你的瀏覽頁面輸入密碼」,Popa 說明,如果政府要求公司給予你的個人資料,伺服器是沒辦法給未加密的資料的,因為還好有 Popa 和 MIT 的同事們開發了一套軟體,並建立了一家網路開發軟體公司 Meteor Development Group。

這個設計網站伺服器的點子是資料屬於他們的伺服器內時,能一直讓資料處於加密狀態,而且研究員們已經開發出一套工具來宣稱它是如何被完成,但是 Popa 表示 Mylar 是更實際的,甚至今天能開始進行服務。

  • Mylar 的密碼追蹤讓資料安全更高

這套軟體是利用目前受歡迎的 Web Service 所建立的工具叫作 Meteor,讓網站開發者能更簡單地使用它。 Mylar 的設計是在個人瀏覽器內跑程式,能進行並提供資訊,一般的服務在這個伺服器都可以運作,但 Mylar 同時加入了新功能 —— 密碼追蹤,允許伺服器能有效的運用使用者資料。Mylar 建立的伺服器可能可以搜索已經存在它伺服器內的加密資料,舉例來說,一個人能夠搜尋許多文件只要它們已經上傳到檔案儲存空間即可。

Mylar 也讓每個使用者能夠和其他使用者分享資料,歸功於這個系統能夠分流給使用者必要的加密密碼,並且不受到其他伺服器或是有心人監控傳播,一個可選擇的瀏覽器擴展能夠被用來避免並保護解開個人資料所需要的密碼,克服了有心人的攻擊及惡毒的內部人。

賓州大學的研究員 Ariel Feldman 表示,Mylar 結合許多加密網頁伺服器中實用的特色,以前從來沒有把這部分整合過;然而,他認為許多網站公司選擇接受加密方式的可能性看起來很低。「如果這類的系統真的能拓展到數百萬的使用者,這將會是一個分水嶺的瞬間。真正採納它的阻礙,就是它的好用性和企業的考量情形」。

一個很大的使用性挑戰在於,萬一遺失了他們的密碼,他們將會永遠無法進入使用資訊,如果伺服器沒有解密的話,雖然對於密碼復原,Mylar 的設計有額外的安全系統。另一方面,對於企業的挑戰將從額外建立安全系統的成本,到許多網路公司其實相當依賴藉由蒐集到使用者資料,進而打廣告來創造獲利。 Feldman 認為 Mylar 會吸引到將保密資料視為非常重要問題的公司,以資安問題越來越受重視地現在來說,不論是企業或是政府都可能會願意支付更多的錢,為了保障資料安全。

Popa 對此仍是樂觀看待,由於先前曾開發出一套系統叫作 CryptDB,為一套允許資料庫能完全地加密的軟體,並且至今已經被 Google 和軟體公司的巨人 SAP 所採用,「我認為 Mylar 至少是好用的,當然不只如此」,Popa 說。

延伸閱讀:

別小看 IT 部門,他們是企業防駭的大功臣!看 Google 資訊長怎麼維護內部資安

(資料來源:MITTechnologyReview;圖片來源:purpleslog, CC Licensed)