美國專利商標局(USPTO)於2025年2月18日宣布,為進一步保障客戶資訊及IT系統安全,將於2025年5月1日起採用更安全的多重身份驗證(Multifactor Authentication, MFA)方式,以保護需登入USPTO.gov帳戶的系統。此舉旨在為用戶提供更安全的身份驗證機制,並加強防範網絡釣魚攻擊,避免敏感資訊外洩、惡意軟件下載或其他形式的網絡犯罪。
USPTO將逐步淘汰以短訊服務(SMS)和語音通話(Telephony)作為第二重驗證的方式。若用戶目前使用SMS或語音通話作為第二重驗證,必須在2025年5月1日前設定替代方案,以免影響服務使用。USPTO網站提供多種多重身份驗證方法的資訊與指引,用戶可根據需求選擇或更新驗證方式,並下載、安裝及配置至個人設備。
值得注意的是,若用戶使用電子郵件作為第二重驗證方式,此選項將繼續保留,不受此次變更影響。
三種USPTO提供的多重身份認證(MFA)選項
以下是三種USPTO提供的多重身份認證(MFA)選項,這些選項更能抵禦釣魚攻擊或網絡攻擊:
- Okta Verify
USPTO使用Okta平台來安全地連接至其應用程式和工具。Okta Verify是一款應用程式,用於在用戶登入USPTO.gov帳戶時,協助確認用戶身份。使用此驗證器時,使用者會從Okta收到一個驗證碼,用戶需將驗證碼與他本身的密碼一同使用。 - 基於時間的一次性密碼(Time-based one-time password,TOTP)
僅使用密碼可能無法提供足夠的安全性。將密碼與TOTP結合使用有助用戶確保系統安全地驗證其帳戶。使用TOTP時,用戶會收到一個在短時間內失效的驗證碼,可讓用戶能夠安全地存取USPTO的系統,並確保用戶能在設定的時間內正確識別身份。如果用戶未能在時間範圍內登入,系統將會提示用戶輸入另一個驗證碼。TOTP的選項包括Authy、Google Authenticator、LastPass、Duo Security、Microsoft Authenticator等。用戶要自行研究每種選項的不同功能和特點,以找到最適合自己的工具。 - 線上身分快速識別(Fast Identity Online ,FIDO2)設備
FIDO2安全金鑰是一種小型硬體設備,用戶可以用它來登入USPTO的系統和應用程式。無需在輸入密碼後再輸入驗證碼,只需將安全金鑰輕觸或插入手機/電腦即可確認身份。
參考資料 :
