FIDO 身份認證重點一把抓

更新於 2024/11/17閱讀時間約 10 分鐘
在金融科技發展的過程中,「身份認證」是非常重要的環節,銀行該如何在網路的另一端確認客戶的身份,又如何確保客戶在使用網路服務時是安全無虞的,這是銀行端難以避免的課題。在歷經幾次針對傳統密碼的網路攻擊後,銀行業開始反思在數位化的浪潮下,如何讓網銀的服務可以兼具安全與便利性。目前臺灣擁有身份認證的供應鏈,在上下游的互助下民眾享有更便利的服務,例如:手機報稅、健保快易通、利用生物辨識登入網銀等等。

究竟臺灣的身份認證供應鏈如何運作呢?有哪些廠商是幕後的重要推手?然而FIDO 真的完美無缺嗎?未來的趨勢又會如何發展呢?今天就讓馬克帶大家一同了解吧!

事前閱讀:FIDO補給站 - 數位身分識別

傳統密碼的資安弱點

網路釣魚詐騙(phishing scams)是竊取客戶個資常見的手法,通常犯罪集團會透過簡訊平台或通訊軟體發送釣魚連結,並將連結傳送至被害人手機,之後被害人不疑有他地輸入帳密,詐騙集團取得帳密後,就將被害人的錢轉移至人頭帳戶,成功獲取贓款。舉例來說,國內網路犯罪集團曾經假借大型銀行的名義發送大量釣魚訊息,誤導民眾至偽裝網銀的釣魚網站,騙取用戶帳號與密碼,同時還騙取用戶所收到從銀行發出、綁定信任裝置所需的OTP 碼,藉此將民眾的網銀帳戶非法綁定至歹徒持有的手機裝置,以進行非約定轉帳進而盜轉成功。

除了網絡釣魚詐騙,撞庫攻擊亦是相當常見的網路攻擊手法。撞庫攻擊指的是駭客抓準使用者密碼設定的習慣,透過人們習慣用同一組帳密註冊不同網站的特性,拿網路上已經洩漏的密碼資訊到其他的網站或平台不斷地嘗試登錄,駭客就這樣用一組帳號、密碼「撞」出資安漏洞。2021年11月,國內證券業首見駭客「撞庫」攻擊事件,透過電腦程式不斷嘗試登入網路下單系統,國內7家證券、期貨商遭「攻破」,客戶被冒名下單買進港股,炒高股價後賣壓狂瀉,投資人隔空被大割韭菜。

這些資安漏洞都是因傳統密碼的弱點而造成的,因此金融機構也開始尋求FIDO 做為解方。FIDO 全稱為Fast Identity Online,是一種為了將跨網站、應用等多組密碼整合同為一組快速且安全的登入方式的技術標準。FIDO 是指由同名的非營利組織FIDO 聯盟所訂定的一套網路識別標準,意在確保登入流程中伺服器及終端裝置協定的安全性。而這套識別標準透過公開金鑰加密(Public Key Cryptography)的架構進行多重因素驗證(MFA)以及生物辨識登入來強力且嚴密地保護雲端帳號的個資。

身份認證供應鏈大拆解

臺灣的身份辨識供應鏈可分為四個部分,從上游到下游分別為身份資料提供者、軟體元件商(憑證發放、管理者)、系統建置業者、應用服務商。

(一)身份資料提供者:提供使用者身份辨識資料,國內主要提供者為五大電信業者、郵局、國發會、銀行、內政部自然人憑證等等。

(二)軟體元件商(憑證發放、管理者):藉由公正專業之第三方機構提供各類身分識別工具與識別機制之服務。臺灣主要以臺灣網路證證公司為主,身分識別往往涉及政府公權力領域,臺網大股東為臺灣證交所、集保公司、財金資訊公司等政府特許的半官方機構,可被金融機構與民眾信任。

(三)系統建置業者:臺灣主要以偉康、凌網為主。由臺網負責提供軟體憑證元件,接著再由偉康、凌網等等廠商進行系統建置,為客戶導入認證流程。

(四)應用服務商:與系統建置業者配合完成建置後,提供更安全的服務給一般大眾,如:金融業(銀行、產險公司)、醫院、公司企業、政府單位等。

臺灣身份認證關鍵角色-臺灣網路認證公司

身分識別服務是網路交易的關鍵性機制,當可以在網路上提供完善的身分識別,那麼就可以提供正確而適當的資訊給予正確的人,臺灣網路認證公司為了滿足市場需求及配合金管會政策,已經運用原有的PKI 技術及現行在證券、銀行、保險、電信等不同產業的資安經驗,發展出「複合式身分識別技術組合」,主要涵蓋四項服務:

(一)多元身分識別:在身分識別主要包含兩個步驟,一個是驗證(Authentication),是「驗證你所提供的資料是否真確」;另一個是確認(Identification),藉由比對客戶提供的資料,確認「你是誰」。臺網藉由與各個身分核驗夥伴合作,提供多種身分識別工具,滿足非臨櫃的身分識別需求,像是與五大電信業者合作MID 門號認證、三大超商KIOSK 身分識別、自然人憑證、晶片金融卡、郵局帳戶核驗等工具進行身分識別。

(二)信物管理(Credential Management):做完身分識別後,會提供一個信物做為之後雙方所信賴的工具(如:憑證、帳號密碼等),並依應用/身分識別等級不同,提供不同用途的信物(憑證)管理服務,可分為金融憑證管理服務(如:銀行憑證、證券憑證進行網路金融交易)、簽署憑證管理服務(如:簽署憑證進行電子商務交易或合約電子簽署使用)、FIDO 行動金鑰服務(經簡單身分驗證在可靠裝置上核發FIDO 行動金鑰,用戶能以裝置生物辨識解鎖金鑰)。

(三)電子文件簽驗:在交易的過程中,需要利用信物對電子文件進行簽署,提供文件的認證、驗證、存證等服務。

(四)資料共享:客戶身分識別的結果或是前述文件收執,由服務提供者A提供給另一個服務提供者B,這時需要取得其客戶的授權,並透過身分識別中心的資料轉遞服務,以安全且可信賴的傳輸方式提供給不同服務者。

國內的應用場景

(一)手機報稅:今年最具代表性的案例就是手機報稅。過去插卡身分識別操作不便,去年開始臺網和財稅資料中心合作,讓民眾用手機做身分識別完成報稅。今年透過手機進行綜所稅報稅的民眾達到42%,許多人在短短5分鐘便完成稅務申報,有效提升報稅的效率。

(二)健保快易通:疫情期間臺網與政府合作,協助「健保快易通」做身分識別。健保快易通推出近7年,前3年僅有50萬戶登入,與臺網合作半年後增至100萬戶。近年在疫情推波助瀾之下,更一舉增加至1,400萬戶,適時為疫情帶來更彈性服務。

(三)內政部- TAIWAN FidO 臺灣行動身份識別:凌網與內政部合作導入FIDO 標準建置行動身分識別機制,結合內政部發行的自然人憑證進行註冊,可運用於政府機關(構)或公營事業機構所開發之資訊系統,作為數位服務之帳號或身分登錄認證識別,全程免插卡、免密碼,僅需生物特徵識別,減少及取代部分臨櫃申請作業、改善政府為民服務品質及流程。

(四)金融業-台新金控:偉康與台新銀行合作完成生物辨識快速登入的解決方案,包含認證工具、伺服器端字串生成、用戶端加密簽章、資料儲存的安全性等,都符合FIDO 標準的要求,大大保障用戶資訊的安全性,並陸續增加其他生物辨識如臉部、虹膜等支援。

(五)製造業-榮益科技:2021 年全球安全洞察報告顯示,76% 的受訪企業表示員工居家辦公為駭客攻擊量增加的主要原因。榮益科技採用偉康科技「OETH 雲端身分認證 SaaS 服務」搭配VMware 遠端桌面 (VDI) 技術,透過 OETH 雲端身分認證 SaaS 服務解決外商供應鏈稽核問題,並導入無密碼認證服務。相較傳統地端伺服器,不僅節省大幅費用及提高安全性,更可隨時依需求進行動態彈性擴充與增減。

FIDO 真的完美無缺嗎?

儘管FIDO 被視為解救傳統密碼資安弱點的最佳救星,但仍存在以下兩個問題點被廣泛討論中,因此FIDO 真的完美無缺嗎?或許是一個非常值得繼續觀察的議題。

(一)根據FIDO 聯盟的說法,未來將會用生物辨識(指紋/臉部)、SMS 認證簡訊取代傳統密碼,但簡訊、電子郵件都有可能被駭客攔截,且現在已經有能夠欺騙指紋辨識、臉部辨識的技術,當這些生物辨識數據被竊,相對於過去傳統密碼流出只要及時更改就好,生物辨識幾乎無法更改,後續如何修正是問題。至於使用 PIN 碼或安全問題,則與傳統密碼區別不大。

(二)「無密碼登入」的硬體要求,不只是限制一定得使用智慧手機,對於硬體規格可能也有所限制,消費者使用的產品年限、效能差距非常大,數據更指出,美國有 15% 的人使用傳統手機,「無密碼登入」能否普及仍待考驗。

FIDO 未來發展趨勢

目前在實施FIDO 時面臨的一個挑戰是:有一些舊的應用程式和服務不支援現代網路標準。因此開發者們持續開發分離身份驗證機制(detach authentication mechanism)。透過這種機制,即使使用者需要訪問舊型的應用程式,使用者仍然能夠以對抗網路釣魚的方式使用FIDO 進行身份驗證。另外,FIDO 協議現在只能在網站和電腦上使用,因此未來希望可以將身份驗證擴充套件到所有型別裝置,像是汽車、辦公室門禁等等。

FIDO 目前仍然非常受到大型企業認可,亞馬遜擁有最大的電子商務和雲平臺的企業之一,非常需要強大的身份認證功能,他們仍努力透過FIDO 來滿足這些安全性需求。AWS 使用者身份驗證產品高階經理Arynn Crow 表示,她的公司對FIDO2 進行大量投資,他們相信FIDO 支援更大的靈活性,並可以滿足客戶在使用者體驗和安全性的要求。

馬克碎念

由於金融服務與人們的資產息息相關,所以相關的身份認證發展一直都相當嚴謹,從過去的實體銀行使用存摺、證件與印章,網路銀行的帳號、密碼與讀卡機,到現在FIDO 技術的興起,每一個進程都讓民眾在使用上更方便與更有效率,同時也符合不同時代的需求。

現在金融科技發展追求無摩擦的使用體感,因此當所有數位金融服務都在優化使用流程的前提下,若是身份認證機制沒有改善,整體使用體感也會大打折扣。所以金管會也在2022年舉辦「數位身分認證及授權」之主題式監理沙盒及業務試辦,希望有更多科技業者或金融業者嘗試新的模式。

另一值得關注的重點是傳統的金融服務如何跟新的身份認證方式結合,譬如說前兩年疫情期間,許多上市櫃公司只能延後股東會的召開,當中除了法規的問題外,金管會還考量身份驗證的問題,甚至還拋出中老年股東不太會用手機,該如何通過驗證來參與線上股東會等等議題。但這些問題也終於在2022年初協調出解決方案,所以馬克相信未來一定會看到更多的結合與應用,只是需要一點時間。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
遠端世代來臨,且遠端服務與作業的需求因新冠疫情提升,數據資料洩漏、身份竊取和帳戶攻擊的案件隨之增加,企業的數位身份驗證機制也愈顯重要。馬克要介紹的數位身份驗證API 公司Socure 為了幫助政府機關與企業打擊欺詐,只要透過單一API 就可以使用身份驗證等多樣不同種類的服務。
在蓬勃發展後,消費爭議也不斷地浮出檯面上,讓各國監理機關開始注意到BNPL 在規範上的漏洞,並著手相關的監理法規。除此之外,信用風險、資金成本、景氣衰退疑慮等議題也成為BNPL在發展上的挑戰。回到正在發展BNPL 的台灣,究竟這些國外業者遇到的挑戰會不會成為台灣發展上的阻礙呢?可能會遇到什麼挑戰呢?
隨著全球經濟數位化轉型,數位經濟轉變也席捲各個產業,銀行業跟金融業也帶來不少碰撞跟挑戰,信用評分方式也是其中之一。傳統信用評分建立在使用銀行服務,審核借款時常需參考用戶的信用評分。另類信用評分看似提供新的信用評分方式,但它的好處跟風險各是甚麼呢?另類信用評分跟數位還有網路發展之間又存在什麼關聯呢?
因應數位時代興起,許多傳統交易方式已被淘汰,取而代之的是線上、雲端的新興交易模式,此時API 就扮演相當重要的角色。於2016年成立的英國金融科技公司FORM3 開發以網際網路為基礎的API 軟體,藉由單一API 提供託管支付服務。今天就讓馬克帶你一起了解吧!
傳統金融機構面對數位銀行與雲端服務的崛起,創新的金融服務模式,讓傳統金融業面臨數位轉型的問題,強化AI 技術、數據分析能力及上雲技術也顯得更為重要。 本次文章介紹金融數位轉型的種種原因,帶你了解上雲技術將對金融產業帶來什麼改變。而在數位轉型的過程中,金融機構又將遇到哪些問題呢?就讓馬克帶你一同探索
房地產的話題日益蓬勃,人人都想成為房市專家,擁有屬於自己的一個家,雖說現在購買房屋已經不像以前那麼麻煩,有需多房屋貸款公司以及房屋仲介商可以提供給民眾作為買房的參考以及依據,但要如何才能選到合適且低利率的房屋貸款公司呢?今天馬克要為大家介紹一家在美國的房屋貸款公司 Valon
遠端世代來臨,且遠端服務與作業的需求因新冠疫情提升,數據資料洩漏、身份竊取和帳戶攻擊的案件隨之增加,企業的數位身份驗證機制也愈顯重要。馬克要介紹的數位身份驗證API 公司Socure 為了幫助政府機關與企業打擊欺詐,只要透過單一API 就可以使用身份驗證等多樣不同種類的服務。
在蓬勃發展後,消費爭議也不斷地浮出檯面上,讓各國監理機關開始注意到BNPL 在規範上的漏洞,並著手相關的監理法規。除此之外,信用風險、資金成本、景氣衰退疑慮等議題也成為BNPL在發展上的挑戰。回到正在發展BNPL 的台灣,究竟這些國外業者遇到的挑戰會不會成為台灣發展上的阻礙呢?可能會遇到什麼挑戰呢?
隨著全球經濟數位化轉型,數位經濟轉變也席捲各個產業,銀行業跟金融業也帶來不少碰撞跟挑戰,信用評分方式也是其中之一。傳統信用評分建立在使用銀行服務,審核借款時常需參考用戶的信用評分。另類信用評分看似提供新的信用評分方式,但它的好處跟風險各是甚麼呢?另類信用評分跟數位還有網路發展之間又存在什麼關聯呢?
因應數位時代興起,許多傳統交易方式已被淘汰,取而代之的是線上、雲端的新興交易模式,此時API 就扮演相當重要的角色。於2016年成立的英國金融科技公司FORM3 開發以網際網路為基礎的API 軟體,藉由單一API 提供託管支付服務。今天就讓馬克帶你一起了解吧!
傳統金融機構面對數位銀行與雲端服務的崛起,創新的金融服務模式,讓傳統金融業面臨數位轉型的問題,強化AI 技術、數據分析能力及上雲技術也顯得更為重要。 本次文章介紹金融數位轉型的種種原因,帶你了解上雲技術將對金融產業帶來什麼改變。而在數位轉型的過程中,金融機構又將遇到哪些問題呢?就讓馬克帶你一同探索
房地產的話題日益蓬勃,人人都想成為房市專家,擁有屬於自己的一個家,雖說現在購買房屋已經不像以前那麼麻煩,有需多房屋貸款公司以及房屋仲介商可以提供給民眾作為買房的參考以及依據,但要如何才能選到合適且低利率的房屋貸款公司呢?今天馬克要為大家介紹一家在美國的房屋貸款公司 Valon
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
當今數位時代,網路安全威脅日益嚴重,傳統的密碼系統不再足夠應對現代的攻擊。企業和用戶都在尋求更安全、便捷的身份驗證方式,而 FIDO(Fast IDentity Online)是一個開放且標準化的身份驗證技術,旨在解決密碼管理的複雜性和安全性問題,這種無密碼認證方式正逐漸取代對傳統密碼的依賴。
2024年7月11日,台北 —— Tranquility 國際社群欣然宣布,成為全台首家社群軟體取得 FIDO (Fast Identity Online) 身分驗證的公司。這一里程碑標誌著 Tranquility 在用戶安全和數位身份管理方面的重大突破,進一步鞏固了其在社群軟體市場的領導地位。
Thumbnail
什麼是多因素驗證 (MFA)? 多因素驗證 (MFA) 是一種登入保護機制,需要使用者提供多個不同的驗證方式來確認身份。除了輸入密碼,使用者還可能需要: 輸入發送到手機的驗證碼 掃描指紋或面部 回答安全問題 這樣即使密碼被盜用,未經授權的用戶也很難登入帳戶。 為什麼需要多因素
在當今數位化快速發展的社會中,傳統的密碼驗證方法已逐漸顯露其局限性,如密碼遺忘、盜用以及安全漏洞等問題不斷。為解決這些問題,「FIDO(Fast Identity Online)認證」技術應運而生,旨在創造一個更安全、便利的網路認證環境。FIDO 認證不依賴傳統密碼,而是利用生物辨識技術如指紋、臉部
Thumbnail
A :不一定 解離症的常見症狀分類,大概分成以下六項: 失憶、現實感喪失、自我感喪失、身份認同混淆、身份認同轉變、功能性神經症狀 每個症狀各自都有不同的表徵型式、持續時間、輕重之分 每位患者的病況都不相同,有沒有身份認同轉變症狀,要看的是患者本身的病況,而不是單以病名去看待。
Thumbnail
擔心密碼外洩和記憶過多密碼的麻煩嗎?FIDO無密碼認證已經改變遊戲規則,利用生物辨識技術,如指紋和臉部識別,提供更安全和便捷的身份驗證方式。政府、金融業和科技業正在積極採用FIDO,以提高安全性。此外,FIDO還可用於企業服務中台,增強資訊安全性和系統整合效能。了解企業服務中台如何支援FIDO。
Thumbnail
大概四年前,我因持續好幾個月的各種身體不適,開始請假去看醫生做檢查,家醫科、耳鼻喉科、腸胃科、婦產科、眼科、骨科、心臟內科、一般內科、過敏免疫風濕科、神經內科、精神科,在各個科別間轉介來轉介去,但不管哪個科別的醫生,都沒有找到問題出在哪。
Thumbnail
Supabase裡的每個專案都自帶一組開箱即用的會員系統和身份認證系統,只需要使用Supabase提供的SDK,不管是身份認證、登入、登出、會員管理,處理TOKEN等功能都包在裡面處理到好,相當實用。 嗨歡迎閱讀我的文章!這是關於Supabase的系列文章,內容包含介紹Supabase是什麼、基本功
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
當今數位時代,網路安全威脅日益嚴重,傳統的密碼系統不再足夠應對現代的攻擊。企業和用戶都在尋求更安全、便捷的身份驗證方式,而 FIDO(Fast IDentity Online)是一個開放且標準化的身份驗證技術,旨在解決密碼管理的複雜性和安全性問題,這種無密碼認證方式正逐漸取代對傳統密碼的依賴。
2024年7月11日,台北 —— Tranquility 國際社群欣然宣布,成為全台首家社群軟體取得 FIDO (Fast Identity Online) 身分驗證的公司。這一里程碑標誌著 Tranquility 在用戶安全和數位身份管理方面的重大突破,進一步鞏固了其在社群軟體市場的領導地位。
Thumbnail
什麼是多因素驗證 (MFA)? 多因素驗證 (MFA) 是一種登入保護機制,需要使用者提供多個不同的驗證方式來確認身份。除了輸入密碼,使用者還可能需要: 輸入發送到手機的驗證碼 掃描指紋或面部 回答安全問題 這樣即使密碼被盜用,未經授權的用戶也很難登入帳戶。 為什麼需要多因素
在當今數位化快速發展的社會中,傳統的密碼驗證方法已逐漸顯露其局限性,如密碼遺忘、盜用以及安全漏洞等問題不斷。為解決這些問題,「FIDO(Fast Identity Online)認證」技術應運而生,旨在創造一個更安全、便利的網路認證環境。FIDO 認證不依賴傳統密碼,而是利用生物辨識技術如指紋、臉部
Thumbnail
A :不一定 解離症的常見症狀分類,大概分成以下六項: 失憶、現實感喪失、自我感喪失、身份認同混淆、身份認同轉變、功能性神經症狀 每個症狀各自都有不同的表徵型式、持續時間、輕重之分 每位患者的病況都不相同,有沒有身份認同轉變症狀,要看的是患者本身的病況,而不是單以病名去看待。
Thumbnail
擔心密碼外洩和記憶過多密碼的麻煩嗎?FIDO無密碼認證已經改變遊戲規則,利用生物辨識技術,如指紋和臉部識別,提供更安全和便捷的身份驗證方式。政府、金融業和科技業正在積極採用FIDO,以提高安全性。此外,FIDO還可用於企業服務中台,增強資訊安全性和系統整合效能。了解企業服務中台如何支援FIDO。
Thumbnail
大概四年前,我因持續好幾個月的各種身體不適,開始請假去看醫生做檢查,家醫科、耳鼻喉科、腸胃科、婦產科、眼科、骨科、心臟內科、一般內科、過敏免疫風濕科、神經內科、精神科,在各個科別間轉介來轉介去,但不管哪個科別的醫生,都沒有找到問題出在哪。
Thumbnail
Supabase裡的每個專案都自帶一組開箱即用的會員系統和身份認證系統,只需要使用Supabase提供的SDK,不管是身份認證、登入、登出、會員管理,處理TOKEN等功能都包在裡面處理到好,相當實用。 嗨歡迎閱讀我的文章!這是關於Supabase的系列文章,內容包含介紹Supabase是什麼、基本功