數字密碼已不再安全,FIDO身份驗證將成為主流
在科技的蓬勃發展下,金融部門卻成為網絡詐騙的熱門目標,數據顯示光是2020年7月,德國網路單月受到駭客攻擊的次數就高達100,000次,且攻擊對象涉及各種規模的公司,由下圖可知目前全球數字密碼鎖遇到的問題,可見新型態的密碼勢在必行。
因此,金融和信貸機構採取了新型的保護措施—FIDO(Fast IDentity Online 線上快速身分驗證服務)—運用生物特徵辨識或FIDO安全金鑰,來線上驗證使用者身分,目前Windows裝置、iPhone手機、華為手機皆支援此驗證方式。
FIDO怎麼運作:
FIDO認證模式的重點為—將身分「驗證」與「識別」拆開,因此伺服器端不須再保管密碼,並採公私鑰架構來保障安全(使用者的驗證加密後成為私鑰,以私鑰進入FIDO認證,認證通過獲得公鑰,再以公鑰解開目標應用程式)因此在FIDO伺服器上,只保存公鑰不保存密碼或私鑰、達到不存在密碼的效用。
另外,FIDO驗證較嚴謹—當用戶移除App或手機重置時,在FIDO架構之下,需重新註冊;相較僅使用FaceID驗證的客戶仍會記憶登入資訊。
國際上的發展:
2015年美國銀行(Bank of America)是全球首家導入FIDO驗證的金融業者,其將FIDO驗證導入行動銀行App,提供用戶安全簡便的驗證方式。
而以各國政府而言,FIDO目前已獲得12國政府(美國、臺灣、加拿大、香港、馬來西亞、挪威、韓國、瑞典、泰國、英國、澳洲、捷克)導入—作為新的線上身分識別技術,並應用於政府電子服務中。例如:韓國用於對民眾的稅務服務、馬來西亞規畫應用於政府、市議會、銀行、電信與交通等特定行業的身分驗證與交易簽名。
臺灣的發展:
2018年中國信託銀行成為臺灣首家導入FIDO驗證的金融業者,旗下的「Home Bank」App的用戶達360萬人,其中有75%是使用FIDO機制登入,可見用戶對此機制所帶來的便利性接收度很高。接著2020年,國泰世華銀行也導入FIDO驗證—應用於「國泰世華行動銀行」與「KOKO」App,目前已有超過120萬客戶在使用。
金管會在2021年5月初推動「金融行動身分識別聯盟」,希望透過導入國際 FIDO 標準,期望能達到跨機構互通,,例如:在A銀行開立數位帳戶後,在B銀行只要透過人臉辨識、指紋辨識等方式,便能直接開立數位帳戶;也希望達到客戶使用同一支手機或行動裝置,只要經過一次身分驗證,即可登入不同銀行、證券機構的帳戶App,不需再依據不同機構而分別使用不同的帳號與密碼。並表示接下來會詳細規劃訂定 FIDO 的應用標準和範圍,預計2021年第四季開始試辦,政務委員唐鳳說:「TW FidO又沒有很普及,但是希望接下來可以很普及。」也揭示了台灣未來 FIDO 發展的走向。
普匯觀點:
目前臺灣的金融機構,雖然已經有提供相較過去更多元的身分識別方法,如:自然人憑證、信用卡、存款帳戶等非簽名的方式,但通常仍會在事後要求用戶再進行一次實體身分認證、或輔以視訊資料的方式補足資訊。但透過FIDO驗證,FIDO本身的認證過程就有涵蓋生物辨識部分,因此能夠更加精簡認證程序,且延伸至跨單位的整合,可大幅縮減人力作業的時間。
而好比普匯的反詐欺系統—持件自拍(生物辨識)與雙證件辨識,亦可作為降低風險的系統,且由於普匯是使用APP進行借貸操作,因此在資安方面也較網頁安全—因為手機的行動IP有電信綁定、容易追朔回源頭。
因此FIDO認證不僅在時間上具有效率,更能降低資安風險(用戶每次的登入都需經過生物辨識),雖然目前較多應用在金融產業,但勢必是未來各產業作人員與用戶認證時必備的科技。
