金管會推行生物認證辨識身份,導入FIDO標準,最快將於Q4上路,將可擴大金融科技的應用場景。FIDO解決了什麼問題?為什麼FIDO可以擴大金融科技應用場景?

如何確認本人?身份確認的三種路線

密碼學的身份驗證三個因素是

something you know:使用者知道的事,如密碼。

something you have:使用者持有的物品,如向使用者的手機發布簡訊,確認登入者為使用者。最常見的為OTP簡訊,輸入帳號密碼後,再發布簡訊或認證碼到手機或信箱。確認使用者除了知道密碼以外,也持有使用者持有的物品。(許多信用卡線上刷卡的本人確認手續都走這條路線。)

something you are:使用者特質,如個人生物特徵辨識,指紋、臉部、虹膜、指靜脈等辨識方式。

什麼是FIDO?

FIDO全名為「Fast Identity Online」,是將身份認證的方式透過個人的硬體裝置做身份認證,進而使用各個網站和行動服務。

例如使用apple pay進行線上付款刷卡時,只需要指紋辨識或臉部辨識後就可以進行刷卡,不需要再進行傳統的OTP簡訊作為身份認證手續。

這有什麼好?

提供比個人密碼更安全、穩定度更高的身份驗證服務。

過去是將個人的帳號密碼等個人身份認證的資訊存在伺服器中,若是伺服器受到攻擊,就會使得個人的身份認證資訊流出。或是有不肖的集團透過製作假網站等釣魚網站,用來騙取個人的身份認證資訊,藉此獲得個人認證資訊進而為竊取財產。

例如做出一個假的OO銀行的網站或app,騙取消費者輸入網銀的使用者代號、密碼等資訊後,進而轉移他們的金錢。

但若採取FIDO模式,認證在個人的硬體裝置完成,僅向中央伺服器傳送完成等資訊,不會將個人的指紋或臉部辨識的細節傳送到中央伺服器。如此一來中央伺服器就不需保管個人的身份認證資訊,也不需擔心會有攻擊伺服器使得資訊外流或是釣魚網站的攻擊。

擴大金融科技的應用場景

例如,目前銀行的數位帳戶有轉帳等等的上限存在(可參照「銀行受理客戶以網路方式開立數位存款帳戶作業範本」),是因為目前難以透過遠端技術確認本人身份。困難之處包含,目前台灣身分證的防偽標示需透過紫外線照射才能發揮效果,個人拍照上傳之身分證照片難以確認此身分證真偽。因此在沒有本人持雙證件至臨櫃完備手續下,數位帳戶所獲得的權限都小於實體帳戶。這是權衡「數位銀行帳戶服務推廣」與「個人身份驗證安全性」兩因素下的結果,以避免過大的風險。

若是可以透過FIDO等方式擴展身份驗證的可靠性且不會將個人資料外流時,將可達成與臨櫃、本人親辦同樣的效果。

除此之外,在金管會的新聞稿中,其目的包含「提供跨機構身分識別功能」,因此未來提供信用卡發卡機構薪資所得資訊或是貸款銀行相關財力證明時,應可一站式完成。

*Fido聯盟目前已超過250個會員參加,包含金融機構(paypal)、科技公司(蘋果、googla、微軟)等都已經參與其中,推動無密碼的新開放標準。

參考來源:
密碼學三大要素:https://www.pearsonitcertification.com/articles/article.aspx?p=1718488
金管會新聞稿:https://www.fsc.gov.tw/ch/home.jsp?id=2&parentpath=0&mcustomize=news_view.jsp&dataserno=202106150002&dtable=News