「台灣面對的敵人有兩種,一種是一般駭客,一種是中國網軍,資安問題本來就比其他國家複雜,需要更高標準的防衛機制。」成功大學電機工程系教授李忠憲說。
恐成資料庫「單一破口」
但,一張輕薄短小的晶片卡,為什麼會對國家資安防衛產生舉足輕重的影響力?
「你可以把政府管理的資料庫,想像成一座座儲存珍貴資料的城堡;這些城堡戒備森嚴,只有獲得許可的人才能進入,國民身分證就是出入的許可證。」交通大學資訊工程系講座教授林盈達形容,「現在民眾申請服務,是拿紙本身分證當面讓政府機關公務員確認身分;數位身分證是讓驗證身分和存取資料的手續,都在網路上進行。」
這段比喻,符合各部會一再強調的「數位身分證只是一把鑰匙,並非將所有個資都儲存在一張卡片上」。依國發會2018年解釋,這把與自然人憑證結合的鑰匙,可以透過「政府骨幹網路」與各部會管理的所有資料庫連結。約2千萬名14歲以上國民,未來都會拿到用來開啟政府資料寶庫的鑰匙。
林盈達進一步說明,國人慣用的健保IC卡、金融卡,性質也類似鑰匙,但分別只能用來進入單一資料庫;結合自然人憑證的數位身分證,卻是可以打開不同城堡的萬用鑰匙,「我寧願拿5張卡,分別存取不同部會管控的資料,也不希望有一張通用卡,因為5張卡很難同時被駭,但數位身分證只要一被駭,我的資料就全曝險了。」
況且,政府骨幹網路可以連結所有資料庫,數位身分證遭盜用的後果,可能不止於個人資料被駭。
「政府骨幹網路就像在每個城堡之間開地道,駭客用偷來的鑰匙進了一座城堡,就有可能找到連結其他城堡的,這叫『單一破口』(Single Point of Failure )風險。」林盈達解釋,「資安沒有百分之百的安全,開發之前,總是要預先設想最壞的狀況。」(延伸閱讀:誰能成功複製數位身分證,獎賞500萬!內政部擬賞金獵人競賽,唐鳳當評審)
遭冒用風險高於紙本
這把重要的鑰匙,當然不會毫無防護機制。依內政部規畫,任何人要讀取數位身分證的加密區資料前,必須輸入持卡人自行設定的6位數字密碼;若要取用自然人憑證區資訊(連進政府資料庫),則須輸入另一道8至12位數的密碼。破解不了密碼,拿到再多把鑰匙也無用武之地。
「對專家來說,90%的密碼都很容易破解。」中研院資訊科學研究所研究員何建明分析,大部分民眾、尤其是中高齡人士,傾向將個人生活相關、不易忘記的數字設為密碼,但這類密碼強度太低,很難擋住本領高超的駭客;數位身分證一旦遺失,遭冒用的風險可能比紙本證件更高。
