攝影/洪政偉

「金融行動身分識別聯盟F FIDO,將是金融業打通數位金融任督二脈的關鍵。」中國信託銀行作業暨資訊處資訊二部部長陳晞涵強調。他更進一步分享自家導入FIDO的經驗、FIDO目前的優缺點,以及對於未來F FIDO發展的期待與建議。

金融服務行動身分識別,是消費者進入數位金融的第一關,因此,金管會規畫研究發展金融行動身分識別標準化機制,由金融機構共同籌組金融行動身分識別聯盟F FIDO,研擬規畫導入國際FIDO標準,初期將針對中低風險的金融服務,提供通用的行動身分識別與簽署功能。

中國信託銀行(簡稱中信銀)在2017年便開始導入FIDO進行開發,是臺灣最早導入國際FIDO標準的金融機構,隔年4月,連帶新一代行動銀行Home Bank App上線之際,也正式將FIDO導入,目前功能包括簡易登入如人臉辨識、指紋辨識,以及轉帳類交易認證,都有使用FIDO的機制。

陳晞涵揭露,中信銀共有360萬名行動銀行App顧客,每天登入大約有100萬人,其中有75%的顧客,是使用FIDO機制登入。中信銀之所以導入FIDO,共有4大考量。首先是,使用者體驗良好,由於FIDO驗證器是是與中信的行動銀行App一同安裝,所以,使用者只要下載App便可開通使用。

第二,也是中信銀認為最重要的關鍵,陳晞涵表示,那就是開放標準的支持,目前主流設備廠商都有支援FIDO,所以中信銀可以簡化各個平臺相容性的建置。「建置同一套機制,便能通吃全部的生物認證或簡易認證。」第三,FIDO認證規格多元,現今主流的人臉辨識、指紋辨識都囊括,這也是中信銀選擇導入的原因之一。

第四是架構端的考量,陳晞涵提到,可以快速導入產品標準,對於中信銀來說是技術架構端的優勢,各式裝置的認證端,比如Face ID、Touch ID,都可以透過同樣一套通用認證框架(UAF)導入,減少每次不同設備、不同的認證機制,需要重複開發的過程。所以,面對顧客使用的不同的手機機型與型號,中信銀IT都能快速在FIDO框架進行生物辨識認證,不用各別進行技術的介接。

目前,中信銀在個人金融的應用,是導入UAF標準;陳晞涵透露,中信銀下一代法金行動銀行也正在導入FIDO,以及,中小企業網銀與行動銀行,這兩者都會考慮導入FIDO通用第二因素框架(U2F)的認證,預計在未來會陸續上線。甚至,中信銀也評估,未來導入FIDO2的可能性,不過,還需考量FIDO相關產品廠商在FIDO2的認證進度,中信銀計畫等到市場成熟時再導入,或許在法人交易簽章等地方可使用。

中國信託銀行作業暨資訊處資訊二部部長陳晞涵認為,打通身分驗證只是關鍵第一步,中信銀更為期待,F FIDO能做到跨機構資料的授權。圖片來源/中國信託金控

不只導入FIDO的諸多好處,陳晞涵也點出目前FIDO的3大挑戰。第一,沒有設備端合法的認證。雖然可以得知使用者的ID和所用的服務是合法,但無法判斷所用的設備是否合法(這個裝置是已註冊的合法裝置);所以,中信銀在導入時,就多加了設備綁定的功能,讓轉帳交易應用更為安全。

第二大挑戰是,現在的FIDO框架,並沒有說明私鑰保護機制的明確做法;這部分,中信銀選擇自己做資料保護的機制,比如動態加密金鑰、白箱加密保護金鑰等。不過,陳晞涵坦言,倘若未來主管機關或銀行公會有新的要求,對於中信銀來說就會是一個挑戰,可能得要重新開發一套新的金鑰保存方式。

第三是,中信導入FIDO框架當時,還沒有「生物驗證辨識率的標準」(編按:FIDO聯盟直到2018年9月才發布生物特徵元件認證標準)。不同手機裝置的生物辨識強度並不一致,比如有一些白牌手機的指紋辨識,可能很容易破解,陳晞涵表示,更多是這些白牌手機的生物驗證辨識率,如錯誤辨識率(FAR)、拒絕識別率(FRR)的標準不合格。他直言:「這是資安上很大的挑戰」。目前,中信銀的作法是與資安情報廠商合作,藉由黑名單來管控哪些設備的生物辨識已被破解,如果有顧客使用黑名單中某個廠牌的型號,該名顧客就不能夠使用中信銀的FIDO機制。

一旦導入國際FIDO標準,建置F FIDO這樣的機制,各家金融機構包括銀行、保險、證券,就可以遵循同一套行動身分識別共通標準,來降低應用上的困難度與開發成本。未來,各家金融機構身分識別強度提升到同一水準時,便可做跨機構行動身分識別互通。陳晞涵表示,在第三方場景的申請類應用,如數位存款開戶、信用卡開戶這類,是金融機構可以做的事。

甚至,陳晞涵認為,F FIDO將成為打通數位金融任督二脈的關鍵。他解釋,許多金融機構在推動數位金融時,有個使用上的瓶頸,消費者要開立銀行的第一類數位存款帳戶的第一個關卡,就必須使用自然人憑證開戶。

「如果能夠透過 F FIDO,取代自然人憑證或是其它硬體憑證的使用,中信銀認為,對金融機構在推動數位金融,將是非常有利的開始。」陳晞涵建議,或許讓消費者使用金融卡來開通FIDO,方便性就會變得非常高,在推動數位金融就會更加快速,因為,大部分的民眾至少都會有一張金融卡。

不過,不管未來F FIDO的開通是採用自然人憑證、金融卡,乃至未來要推出的數位身分證(eID)或是其他作法,陳晞涵強調,中信銀都會就主管機關的公告,來配合政策走向。

然而,打通身分驗證只是第一步,中信銀更為期待下一步,「F FIDO能做到資料的授權。」陳晞涵提到,未來,或許在主管機關的開放下,F FIDO能與開放銀行第二階段,或是國發會的My Data平臺接軌,如此一來,金融機構就可以在業務上有其他新的應用變化。

他舉例,若能串接如財團法人保險事業發展中心,取得顧客在其他保險公司的保單資料,便能幫顧客做保單健檢。另一項中信銀認為可能的應用是,透過F FIDO跨金融機構認證,在顧客的授權下,從其他金融機構取得顧客的財富管理資料,替顧客做財富管理健康檢查。

亦或是,透過F FIDO,到內政部的相關單位取得顧客的收入資料,銀行端便可以更快核准顧客的信貸、房貸申請,這部分是消費金融的應用。不過,陳晞涵表示,這一切的前提,還是得依照金管會後續的政策方向,以及各個金融機構釋出資料的意願。

更正啟事(2020/11/18):金管會來信澄清說明,原文提及金融行動身分識別聯盟F-FIDO英文簡稱有誤,暫時以F FIDO稱呼​,之後會再尋找其他名稱使用,內文已更正。

更正啟事(2020/11/19):內文提及FIDO框架沒有生物驗證辨識率的標準,有誤,正確應為中信2017年開始導入FIDO時,還沒有標準,FIDO聯盟直到2018年9月,才發布生物特徵元件認證標準,內文已更正。


Advertisement

更多 iThome相關內容