新世代身分識別FIDO的興起,成為各領域關注焦點,隨著各國不同的成功應用實踐案例,已經為臺灣業者帶來不少可借鏡之處。
在國際間,FIDO身分驗證技術的發展與應用越來越廣泛,這種更安全、更易用的新技術,不只是大型雲端業者要採用,金融業應該也是更有意願與理由導入,而實際情形也是如此。
金融業是FIDO應用的主要領域
從FIDO聯盟的會員組成來看,其中不乏大型國際金融組織的身影,包括像是美國運通、Paypal、Mastercard、美國銀行、ING集團、USAA保險集團、Bccard等金融組織單位,都參與其中。
對於國際間金融業應用的情況,美商動信安全執行長李殿基,也說明了他的觀察,其中行動端的網銀App應用,就是典型的例子。例如,在美國有9成的行動銀行支援指紋身分識別,雖然不全然都是使用FIDO,但像是美國銀行(Bank of America)、大通銀行(Chase Bank)等,都是採用FIDO。在鄰近的亞太地區,他說,韓國金融業支援FIDO的比例也很高,日本金融業則較慢,不過日本三大電信業者都支援。
至於臺灣的現況如何?從我國的金融規範來看,生物辨識技術已經可以運用在低風險交易,以及身分確認。
神盾公司副總經理張心玲指出,在2017年5月公告的金融機構辦理電子銀行業務安全控管作業基準(簡稱為安控基準),新增加了間接驗證機制,也就是指可由客戶端設備(如行動裝置)驗證,而不像過去一定需要在主機端比對。這也意謂著,目前FIDO認證標準,已經能夠符合我國現行法規的要求。
臺灣有金融業者跟進採用FIDO嗎?根據幾家業者所透露的跡象,中信銀行新的「中信Home Bank」網銀App,應是支援FIDO UAF應用的一個例子,可以指紋、臉部驗證小額轉帳。至於其他國內業者,尚未聽聞採用FIDO的應用實例,相較於國際的發展,還是較慢。
不過,對此我們也感到一些疑惑,因為現在市面上不少網銀App,支援生物辨識的應用,當中是不是有些差異?動信表示,以指紋、人臉登入App的作法,在臺灣、美國、日本與韓國會利用FIDO架構,也有一些例子,是採用自行定義、類似FIDO的架構,或者是以伺服器端驗證登入方式,利用指紋保護一個對稱式密鑰、加密ID與認證資料。不過,在行動金融應用中,目前他們只知道中國有採伺服器端生物識別登入。
隨著FIDO開放驗證標準的推行,透過UAF認證協議,業者在行動端的服務提供生物識別認證,將變得容易,而FIDO2新標準的到來,更是擴展了網頁端網路銀行的應用。關於在伺服器端驗證的作法,動信李殿基也提到,現階段或許比較適合固定場景的應用,像是ATM設備提供的指紋、人臉辨識登入。
至於高風險交易或高監管單位的應用面,目前法律規範,是要以公開金鑰基礎建設架構(PKI)為主,可包含憑證功能與交易記錄,未來如何促進現有的PKI體系與FIDO結合,將是值得關注的發展。
網銀App整合FIDO身分識別,可支援指紋或人臉辨識
現在已經有越來越多行動網銀,開始支援生物辨識登入,而在FIDO標準的推動之下,未來金融服務要提供方便用戶的認證方式將更為容易,不論是帳戶登入、小額轉帳等,都可以指紋或人臉識別方式,快速進行驗證。(圖為Bank of America的行動銀行App登入畫面)
FIDO結合自然人憑證的發展,成政府服務應用新焦點
不只是金融業要應用FIDO,政府服務的身分識別,也成一大關注焦點。神盾張心玲指出,在FIDO聯盟的成員中,其實也包括了美國國家標準技術研究所(NIST),以及英國、德國、以色列與澳洲的組織單位,臺灣的部分,也有像是TWCA臺灣網路認證、聯合信用卡處理中心等參與其中。
更重要的是,目前全球也已經有應用的實例,例如英國政府的電子化政府入口網站(gov.uk),在2016年就提供U2F的支援,而在美國政府部門間共享的認證平臺Login.gov網站,也在2018年開始提供FIDO2支援。
對此,臺灣政府在FIDO的應用,不僅僅是關注,也正在採取行動,與自然人憑證的結合成為近期焦點。
對於一般民眾而言,過去自然人憑證的使用,常受限於讀卡機不夠普及的問題。現階段,內政部在2018年11月16日,展開行動身份識別系統建置暨驗證試辦案的招標,目標就是評估導入FIDO標準建置行動身分識別機制,結合內政部自然人憑證,以作為政府服務的身分登入識別。
未來,臺灣還將發行晶片身分證,是否也能採用為符合FIDO標準的卡片,將是值得討論的議題。
不論如何,隨著全球政府與企業的應用越來越多,都有機會讓FIDO應用更蓬勃的發展,民眾也將在熟悉的操作場景,享受到更簡便且安全的身分識別。
較特別的是,神盾資深經理吳添聰也提到政府推動FIDO的另一施力點,他表示,現在企業或組織架設FIDO認證伺服器,都是提供給自身服務的用戶或員工使用,但對於中小企業來說,可能無法去建置一個FIDO認證伺服器,如果能夠透過政府或是公信力的單位,打造一個公用的FIDO認證伺服器環境,讓更多企業來租用,將能夠更擴大FIDO的適用範圍。
即時通訊LINE今年將支援FIDO免密碼登入
國人所熟悉的即時通訊LINE,該公司對於FIDO應用,在近期也很積極,他們不只是在2018年底通過UAF、U2F與FIDO2的通用伺服器認證,並宣布要在2019年應用在他們的服務上。以他們的服務面向而言,將看到更多FIDO可應用場景。
可能會如何應用?舉例來說,以生物識別方式取代原本登入輸入密碼過程,透過FIDO UAF認證協議,將可用於LINE App的註冊,以及變更Email與密碼,甚至是歷史聊天記錄備份。不過,像是帳戶遷移、裝置解鎖的部分,並不在FIDO範圍之內,就需要以其他機制來搭配。例如,像是使用者換手機的問題,LINE帳戶要如何轉換到新手機上,以傳統的密碼方式登入就是一種作法。
在網頁上第三方應用程式的登入,透過U2F與FIDO2的認證協議,也將提供使用不同服務時的多一道安全機制,這也有助於相關開發商在帳戶登入的整合。
而且,LINE相關生態的服務應用廣泛,相較於一般雲端業者,LINE的服務也跨足金融,像是第三方支付應用的LINE Pay,以及虛擬貨幣交易所BITBOX,因此兼顧便利性與安全的FIDO驗證標準,也被視為可運用的認證選項。此外,還有IoT領域的應用,不論是結合該公司新推的物聯網技術開放平臺LINE Things,或是第三方的IoT平臺。對此,他們的臺灣資深資安工程師劉威成表示,他們希望在服務上帶來更好的體驗,同時也期望藉由自行開發的能力,以整合一個更無縫的服務。
相關報導 智慧型手機可化身FIDO安全金鑰裝置,PC相關應用蓄勢待發
熱門新聞
2024-10-14
2024-10-13
2024-10-13
2024-10-14
2024-10-14
2024-10-12