身為臺灣知名遊戲通路業者的智冠科技,旗下MyCard服務已是該公司的重要業務,為了強化用戶帳號的登入安全,今年7月,該公司針對MyCard App的登入,新增加FIDO生物識別登入功能,成為臺灣首波導入Passkey的業者之一。
MyCard是許多遊戲玩家熟悉的點數儲值平臺,營運至今長達17年,不僅為玩家提供更便利的支付方式,也為遊戲開發商帶來更多商機。然而,隨著網路犯罪日益猖獗,用戶帳號安全一直是MyCard面臨的重要挑戰。
因此,智冠科技從MyCard服務上線以來,持續強化用戶帳號安全,以今年而言,7月22日正式推出基於FIDO標準的生物識別機制,於MyCard App導入Passkey無密碼登入,讓使用者能以更安全、便利的方式進行身分驗證。
因應詐騙與帳號盜用,帳號安全機制需要持續疊加與升級
為何導入FIDO無密碼網路身分識別?智冠科技網路發展部經理李哲瑋表示,這要從先前的帳號防護經驗談起。
過去幾年來,為了防範MyCard服務上的詐騙與帳號盜用問題,智冠科技不只是要建立防詐機制,也推出多項帳號安全機制,並持續關注更進一步的作法。
例如,2007年MyCard服務上線的會員帳號Email驗證,2012年增加晶片卡、MOTP、通訊鎖的進階驗證,到了2014年,加入安全支付密碼機制,也就是帳號點數交易轉移需額外輸入支付密碼。
2018年出現重大轉變!因為智冠科技將MyCard會員註冊系統優化後,要求所有會員帳號都必須完成手機號碼綁定;2019年繼續增加單一行動裝置綁定,加強MyCard App登入安全性;2021年進一步針對會員註冊的IP位址與國別,導入相關條件驗證,避免跨區帳號盜用。
2022年是新的轉捩點!此時他們新增手機生物辨識登入的機制,讓用戶的登入可以更簡便,但他們留意國內金融業積極導入基於FIDO的生物識別技術,以及「TWID身分識別中心」在MID(Mobile ID)門號認證的發展。
因此,他們展開FIDO技術的可行性評估,今年開始展開行動,主要因為得知數位發展部數位產業署有相關推動,也就是「數位信任場域服務實地驗證計畫」,於是,智冠在3月決定參與該計畫的FIDO應用項目。
李哲瑋透露,他們這麼做還有另一層考量。由於智冠科技用戶涵蓋多國,不只臺、港、澳,以及中國、東南亞,還有少數歐美玩家,若符合FIDO國際標準也有額外效益,像是國際廠商合作方面,因此先聚焦Passkey的導入。
至於前述提到的MID行動身分識別,雖然是以國內電信門號為主,但他們認為這是後續可以關注的重點,希望對用戶帳號安全防護帶來更好的效益。
初期以MyCard App登入應用為主,兩大考量是關鍵
關於導入Passkey、推出FIDO生物識別快速登入,智冠科技目前將這項功能提供於MyCard App。為何只有App登入應用此技術?李哲瑋解釋,主要有兩大考量。
首先,根據他們的內部統計顯示,大部分用戶都透過行動裝置使用其服務,其次,現階段用戶在電腦登入會員時,已有不需在網站輸入帳密的方式,並且都是需要透過MyCard App執行。
例如,用戶在電腦操作會員登入時,可用MyCard App推播通知,在手機點擊確認是本人操作,就能完成帳號登入,以及開啟MyCard App並掃描網頁上的QRcode來登入。
基於上述這兩項考量,他們選擇以MyCard App作為前期FIDO導入重點。
以智冠科技的導入歷程而言,今年3月開始進行前期評估,5月到7月是建置期,並在7月22日正式對外提供。而在推出之前,還經過一個星期的內部測試,而且從6月就開始對用戶宣導,鼓勵他們升級使用FIDO登入。
李哲瑋表示,評估導入FIDO時,他們聚焦兩個面向,一是會員登入機制是否需要相應的調整,一是自行開發或與外部廠商合作。
由於這次計畫有時間壓力,加上智冠內部的程式都是內部人員開發,因此他們擔心與外部廠商合作時,會因為溝通而導致時程延宕,加上公司本身的產業鏈與其他領域不同,客製化需求不少,以及希望自己在使用者流程的掌控度更高,以便提供更好的客戶體驗,最終決定自行開發設計。
不過,對於該公司的技術團隊而言,FIDO2是陌生的新技術,他們因此找到工研院,請專家提供協助,讓公司能夠順利導入。而且,該公司也開發對應FIDO2標準的驗證伺服器,並取得FIDO聯盟的認證。
之所以取得這項認證,李哲瑋表示,目的不僅是希望獲得用戶信任,也符合他們推廣FIDO應用範圍的長期策略,目前他們也正持續評估FIDO技術在子公司內的應用場景,並計畫將此技術擴展至數位內容合作夥伴。
另外,智冠科技也談及導入背後也有設備與隱藏成本要注意,例如,隨著更多用戶啟用FIDO登入,他們也持續擴大FIDO伺服器的建置,從原本1臺,擴增至4臺,到現在的8臺,還有開發與業務團隊付出的時間與人力,以及宣傳內容製作、行銷、抽獎活動等。
傳統生物識別登入已過時,FIDO生物識別讓安全再升級
關於這次升級FIDO生物辨識,智冠科技提到他們面臨的一項挑戰,就是如何與用戶溝通、說明升級的必要性。
這是因為,該公司在2022年已推出手機生物辨識登入,在2024年7月新升級FIDO生物識別登入,但對MyCard App用戶而言,這兩種方式在後續登入的操作,可能沒有明顯差異。
李哲瑋強調,在帳號安全上,這兩種機制的防護強度並不相同。
簡單來說,MyCard App在2022年提供的手機生物辨識登入,主要是結合iOS與Android裝置本身的生物識別功能,作法較傳統;現在新提供的FIDO生物識別登入,背後採用國際FIDO聯盟訂定的網路身分識別標準,當中結合公開金鑰加密架構與生物辨識技術,讓伺服器端只有保存公鑰,將身分驗證在裝置端進行,提供更好的網站登入安全機制。
具體而言,他們採用FIDO2標準所衍生的Passkey,目前智冠科技在iOS與Android手機端採用的FIDO2標準驗證,其實就是應用蘋果與Google的Passkey通行密鑰。例如,當我們在iPhone手機登入MyCard App,此時可以看到Face ID生物辨識的登入畫面,顯示是以Passkey進行無密碼登入。
因此,為了促進用戶理解這次升級的原因,李哲瑋表示,智冠科技在機制上線前一個月,就設立宣傳網站,希望提早讓用戶知道為何要升級,了解FIDO是國際標準,藉此提升用戶的接受度。而且,在用戶帳號安全方面,智冠科技還有新的想法,像是以標章顯示會員安全等級,促進用戶完成更進階的驗證。
對於用戶帳號安全的發展態勢,李哲瑋亦有許多感觸,因為他們也觀察到,在韓國、日本遊戲產業中,對於玩家的帳號登入也變越來越嚴謹。從輸入帳號密碼就能遊玩,現在很多遊戲也會強調啟用現在流行的裝置綁定。
而以MyCard服務而言,過去他們已經推出多項帳號安全機制,他認為,目前MyCard服務提供FIDO無密碼登入機制,也保留帳號密碼的機制,因此種種安全機制應該要持續疊加,畢竟完全無密碼的時代還沒有那麼快到來。
智冠MyCard服務推8大帳號安全機制
時間 新增帳號安全機制
2007年 MyCard平臺的會員服務機制上線,提供會員帳號Email的驗證。
2012年 增加進階驗證機制,包括晶片卡、MOTP、通訊鎖。
2014年 增加進階驗證機制,提供會員帳號點數轉移時的安全支付密碼機制。
2018年 會員帳號增加手機門號綁定,等於需經過手機號碼與Email的雙驗證,才能使用MyCard服務。
2019年 針對MyCard App會員登入,提供單一行動裝置綁定機制。
2021年 增加進階驗證機制,針對會員註冊的IP位址、國別,進行條件驗證。
2022年 針對MyCard App提供串接手機生物辨識的登入機制。
2024年 針對MyCard App升級FIDO生物識別機制,提供基於FIDO2標準Passkey的更安全登入。
資料來源:智冠科技,iThome整理,2024年11月
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03