FIDO 身份認證重點一把抓

在金融科技發展的過程中，「身份認證」是非常重要的環節，銀行該如何在網路的另一端確認客戶的身份，又如何確保客戶在使用網路服務時是安全無虞的，這是銀行端難以避免的課題。在歷經幾次針對傳統密碼的網路攻擊後，銀行業開始反思在數位化的浪潮下，如何讓網銀的服務可以兼具安全與便利性。目前臺灣擁有身份認證的供應鏈，在上下游的互助下民眾享有更便利的服務，例如：手機報稅、健保快易通、利用生物辨識登入網銀等等。

究竟臺灣的身份認證供應鏈如何運作呢？有哪些廠商是幕後的重要推手？然而FIDO 真的完美無缺嗎？未來的趨勢又會如何發展呢？今天就讓馬克帶大家一同了解吧！

事前閱讀：FIDO補給站 - 數位身分識別

網路釣魚詐騙（phishing scams）是竊取客戶個資常見的手法，通常犯罪集團會透過簡訊平台或通訊軟體發送釣魚連結，並將連結傳送至被害人手機，之後被害人不疑有他地輸入帳密，詐騙集團取得帳密後，就將被害人的錢轉移至人頭帳戶，成功獲取贓款。舉例來說，國內網路犯罪集團曾經假借大型銀行的名義發送大量釣魚訊息，誤導民眾至偽裝網銀的釣魚網站，騙取用戶帳號與密碼，同時還騙取用戶所收到從銀行發出、綁定信任裝置所需的OTP 碼，藉此將民眾的網銀帳戶非法綁定至歹徒持有的手機裝置，以進行非約定轉帳進而盜轉成功。

除了網絡釣魚詐騙，撞庫攻擊亦是相當常見的網路攻擊手法。撞庫攻擊指的是駭客抓準使用者密碼設定的習慣，透過人們習慣用同一組帳密註冊不同網站的特性，拿網路上已經洩漏的密碼資訊到其他的網站或平台不斷地嘗試登錄，駭客就這樣用一組帳號、密碼「撞」出資安漏洞。2021年11月，國內證券業首見駭客「撞庫」攻擊事件，透過電腦程式不斷嘗試登入網路下單系統，國內7家證券、期貨商遭「攻破」，客戶被冒名下單買進港股，炒高股價後賣壓狂瀉，投資人隔空被大割韭菜。

這些資安漏洞都是因傳統密碼的弱點而造成的，因此金融機構也開始尋求FIDO 做為解方。FIDO 全稱為Fast Identity Online，是一種為了將跨網站、應用等多組密碼整合同為一組快速且安全的登入方式的技術標準。FIDO 是指由同名的非營利組織FIDO 聯盟所訂定的一套網路識別標準，意在確保登入流程中伺服器及終端裝置協定的安全性。而這套識別標準透過公開金鑰加密（Public Key Cryptography）的架構進行多重因素驗證（MFA）以及生物辨識登入來強力且嚴密地保護雲端帳號的個資。

臺灣的身份辨識供應鏈可分為四個部分，從上游到下游分別為身份資料提供者、軟體元件商（憑證發放、管理者）、系統建置業者、應用服務商。

（一）身份資料提供者：提供使用者身份辨識資料，國內主要提供者為五大電信業者、郵局、國發會、銀行、內政部自然人憑證等等。

（二）軟體元件商（憑證發放、管理者）：藉由公正專業之第三方機構提供各類身分識別工具與識別機制之服務。臺灣主要以臺灣網路證證公司為主，身分識別往往涉及政府公權力領域，臺網大股東為臺灣證交所、集保公司、財金資訊公司等政府特許的半官方機構，可被金融機構與民眾信任。

（三）系統建置業者：臺灣主要以偉康、凌網為主。由臺網負責提供軟體憑證元件，接著再由偉康、凌網等等廠商進行系統建置，為客戶導入認證流程。

（四）應用服務商：與系統建置業者配合完成建置後，提供更安全的服務給一般大眾，如：金融業（銀行、產險公司）、醫院、公司企業、政府單位等。

身分識別服務是網路交易的關鍵性機制，當可以在網路上提供完善的身分識別，那麼就可以提供正確而適當的資訊給予正確的人，臺灣網路認證公司為了滿足市場需求及配合金管會政策，已經運用原有的PKI 技術及現行在證券、銀行、保險、電信等不同產業的資安經驗，發展出「複合式身分識別技術組合」，主要涵蓋四項服務：

（一）多元身分識別：在身分識別主要包含兩個步驟，一個是驗證（Authentication），是「驗證你所提供的資料是否真確」；另一個是確認（Identification），藉由比對客戶提供的資料，確認「你是誰」。臺網藉由與各個身分核驗夥伴合作，提供多種身分識別工具，滿足非臨櫃的身分識別需求，像是與五大電信業者合作MID 門號認證、三大超商KIOSK 身分識別、自然人憑證、晶片金融卡、郵局帳戶核驗等工具進行身分識別。

（二）信物管理（Credential Management）：做完身分識別後，會提供一個信物做為之後雙方所信賴的工具（如：憑證、帳號密碼等），並依應用／身分識別等級不同，提供不同用途的信物（憑證）管理服務，可分為金融憑證管理服務（如：銀行憑證、證券憑證進行網路金融交易）、簽署憑證管理服務（如：簽署憑證進行電子商務交易或合約電子簽署使用）、FIDO 行動金鑰服務（經簡單身分驗證在可靠裝置上核發FIDO 行動金鑰，用戶能以裝置生物辨識解鎖金鑰）。

（三）電子文件簽驗：在交易的過程中，需要利用信物對電子文件進行簽署，提供文件的認證、驗證、存證等服務。

（四）資料共享：客戶身分識別的結果或是前述文件收執，由服務提供者Ａ提供給另一個服務提供者Ｂ，這時需要取得其客戶的授權，並透過身分識別中心的資料轉遞服務，以安全且可信賴的傳輸方式提供給不同服務者。

（一）手機報稅：今年最具代表性的案例就是手機報稅。過去插卡身分識別操作不便，去年開始臺網和財稅資料中心合作，讓民眾用手機做身分識別完成報稅。今年透過手機進行綜所稅報稅的民眾達到42％，許多人在短短5分鐘便完成稅務申報，有效提升報稅的效率。

（二）健保快易通：疫情期間臺網與政府合作，協助「健保快易通」做身分識別。健保快易通推出近7年，前3年僅有50萬戶登入，與臺網合作半年後增至100萬戶。近年在疫情推波助瀾之下，更一舉增加至1,400萬戶，適時為疫情帶來更彈性服務。

（三）內政部- TAIWAN FidO 臺灣行動身份識別：凌網與內政部合作導入FIDO 標準建置行動身分識別機制，結合內政部發行的自然人憑證進行註冊，可運用於政府機關(構)或公營事業機構所開發之資訊系統，作為數位服務之帳號或身分登錄認證識別，全程免插卡、免密碼，僅需生物特徵識別，減少及取代部分臨櫃申請作業、改善政府為民服務品質及流程。

（四）金融業-台新金控：偉康與台新銀行合作完成生物辨識快速登入的解決方案，包含認證工具、伺服器端字串生成、用戶端加密簽章、資料儲存的安全性等，都符合FIDO 標準的要求，大大保障用戶資訊的安全性，並陸續增加其他生物辨識如臉部、虹膜等支援。

（五）製造業-榮益科技：2021 年全球安全洞察報告顯示，76% 的受訪企業表示員工居家辦公為駭客攻擊量增加的主要原因。榮益科技採用偉康科技「OETH 雲端身分認證 SaaS 服務」搭配VMware 遠端桌面 (VDI) 技術，透過 OETH 雲端身分認證 SaaS 服務解決外商供應鏈稽核問題，並導入無密碼認證服務。相較傳統地端伺服器，不僅節省大幅費用及提高安全性，更可隨時依需求進行動態彈性擴充與增減。

儘管FIDO 被視為解救傳統密碼資安弱點的最佳救星，但仍存在以下兩個問題點被廣泛討論中，因此FIDO 真的完美無缺嗎？或許是一個非常值得繼續觀察的議題。

（一）根據FIDO 聯盟的說法，未來將會用生物辨識（指紋／臉部）、SMS 認證簡訊取代傳統密碼，但簡訊、電子郵件都有可能被駭客攔截，且現在已經有能夠欺騙指紋辨識、臉部辨識的技術，當這些生物辨識數據被竊，相對於過去傳統密碼流出只要及時更改就好，生物辨識幾乎無法更改，後續如何修正是問題。至於使用 PIN 碼或安全問題，則與傳統密碼區別不大。

（二）「無密碼登入」的硬體要求，不只是限制一定得使用智慧手機，對於硬體規格可能也有所限制，消費者使用的產品年限、效能差距非常大，數據更指出，美國有 15% 的人使用傳統手機，「無密碼登入」能否普及仍待考驗。

目前在實施FIDO 時面臨的一個挑戰是：有一些舊的應用程式和服務不支援現代網路標準。因此開發者們持續開發分離身份驗證機制（detach authentication mechanism）。透過這種機制，即使使用者需要訪問舊型的應用程式，使用者仍然能夠以對抗網路釣魚的方式使用FIDO 進行身份驗證。另外，FIDO 協議現在只能在網站和電腦上使用，因此未來希望可以將身份驗證擴充套件到所有型別裝置，像是汽車、辦公室門禁等等。

FIDO 目前仍然非常受到大型企業認可，亞馬遜擁有最大的電子商務和雲平臺的企業之一，非常需要強大的身份認證功能，他們仍努力透過FIDO 來滿足這些安全性需求。AWS 使用者身份驗證產品高階經理Arynn Crow 表示，她的公司對FIDO2 進行大量投資，他們相信FIDO 支援更大的靈活性，並可以滿足客戶在使用者體驗和安全性的要求。

由於金融服務與人們的資產息息相關，所以相關的身份認證發展一直都相當嚴謹，從過去的實體銀行使用存摺、證件與印章，網路銀行的帳號、密碼與讀卡機，到現在FIDO 技術的興起，每一個進程都讓民眾在使用上更方便與更有效率，同時也符合不同時代的需求。

現在金融科技發展追求無摩擦的使用體感，因此當所有數位金融服務都在優化使用流程的前提下，若是身份認證機制沒有改善，整體使用體感也會大打折扣。所以金管會也在2022年舉辦「數位身分認證及授權」之主題式監理沙盒及業務試辦，希望有更多科技業者或金融業者嘗試新的模式。

另一值得關注的重點是傳統的金融服務如何跟新的身份認證方式結合，譬如說前兩年疫情期間，許多上市櫃公司只能延後股東會的召開，當中除了法規的問題外，金管會還考量身份驗證的問題，甚至還拋出中老年股東不太會用手機，該如何通過驗證來參與線上股東會等等議題。但這些問題也終於在2022年初協調出解決方案，所以馬克相信未來一定會看到更多的結合與應用，只是需要一點時間。