RSA遭骇 Token 换？不换？

RSA SecurID Token召回更换的动作仍然持续进行中，根据外电报导，美国有些企业已经要求更换Token，如花旗集团、美国银行、富国银行、摩根大通、澳盛银行、澳洲西太平洋银行。于此同时，一些竞争供应商也动作频频，例如SafeNet就表示可以为美国的联邦政府及国防单位免费更换RSA Token成SafeNet的Token。

SafeNet亚太区副总裁陈泓说，近来SafeNet的确收到不少的询问，其中尤以日本、新加坡、澳洲地区等资安意识高涨的地区反应最热烈，欧美国家也不乏多让，但在台湾地区则相对的较没有声音。

而SafeNet也针对使用RSA SecurID的客户有几项建议：

1. 应该更新用户端保护，确保所有藉由SecurID连接的用户端都已完成恶意程式和病毒扫描。

2. 强化存取控制，增加额外的网路认证（密码或pin）。

3. 提升监控与稽核，增加监控与稽核能力，评估可能的恶意活动。

4. 计画更换现有凭证，采用新凭证或以更新的种子(seed)更换SecurID凭证，亦或评估其他厂商方案。

RSA, EMC信息安全事业部台湾区业务经理黄惠美表示，进行SecurID更换自然有先后顺序，台湾RSA亦是遵从总部的全球策略，以较为机敏的为优先，例如国防单位或是牵涉到智财权的企业。除了成立专案小组，有统一窗口处理相关事宜以外，亚洲地区更有两人专职处理客户的所有相关疑虑。她强调，在事件发生的第一时间，早已针对细节向客户汇报，包括提供客户最佳的防护方案与持续的关注，此次事件的引发来自于社交工程，而为了保护客户安全，并不宜透露过多细节，她说，RSA也从技术层面向客户解释SecurID的安全机制仍然有效，并非是遭到破解。

HiNet的动态密码锁正是标榜使用RSA Token的身分认证产品，除了与Yahoo!奇摩购物的合作以外，亦可使用中华电信本身提供的多种服务​​。中华电信数据通信分公司行销处行销经理简鸿宾表示，中华电信也在第一时间就进行了解、评估风险。由于中华电信担任的是一个平台的角色，OTP的序号都是绑定Yahoo!奇摩帐号，因此可说是有三道防线：1. RSA SecurID机制、2.OTP序号绑购物帐号、3. Yahoo !奇摩帐号密码。可以说是达到多重认证因素，要同时突破这三道防线，客户才会遭受到威胁，在评估之下认为目前风险尚可控管，因此暂时并不会进行Token的更换。

但他也说，若消费者还是觉得不安全，中华电信当然也提供其他的身分认证方式，如简讯、自然人凭证等种种不同的认证方式。此外，他们也会持续关注SecurID事件的后续发展和陆续强化自身安全。在最糟糕的情况下，简鸿宾说，在经过一些平台的测试准备后，中华电信亦可迅速更换Token及其相关系统。