FIDO聯盟登臺，無密碼式線上身分識別發展受企業及政府關注

近年線上身分識別技術與安全的發展熱烈，如何帶動臺灣業者與政府部門投入應用，並與國際連結也勢在必行。在11月30日，FIDO（Fast IDentity Online）聯盟與2015年即加入的本土業者神盾公司（Egis），雙方合作於臺北主辦了2018 FIDO Taipei Seminar，現場並邀集產業與政府專家，共同探討未來的無密碼識別方式，如何提供給消費者更安全、更便捷的使用體驗。

這場新世代身分識別研討會活動，是FIDO聯盟年度亞洲巡迴論壇中，首次新增的臺北站，這也象徵著臺灣在身分識別技術發展，正跟上這波全球新興趨勢，讓臺灣各業者能夠認識FIDO應用的幫助與發展。

在此次論壇中，神盾公司營運長林功藝在一開場就強調，隨著網路應用越來越多，因此要記住你的身分、密碼，是很痛苦的事，而FIDO聯盟的宗旨，就是希望把密碼這件事移除，只要用指紋、虹膜、臉部等各式各樣的生物特徵，就可以透過安全又方便的方式，登入各式各樣的服務。

成立於2012年的FIDO聯盟，致力於創建一套開放的標準協議，改變現階段主流的線上認證方式，發展至今，整個聯盟已經有超過250個成員，就連Google、Facebook、微軟，也都參與其中。

而這次主辦FIDO臺北研討會的神盾，是國內很早就加入FIDO國際標準組織的業者，他們藉由積極參與國際組織，跟上國際許多規格、標準制定的推動，同時他們也期盼能擴大臺灣在國際的影響力，而隨著這次論壇在臺灣召開，也將讓身分識別應用的推動，可以獲得更多國內產業與政府的關注。

在11月30日舉行的2018 FIDO Taipei Seminar，由神盾與FIDO聯盟合作主辦。FIDO聯盟執行董事Brett McDowell親自來臺說明之外，也邀請行政院科技會報辦公室執行秘書蔡志宏、立法委員許毓仁，以及國內外專家熱情參與。

簡單來說，FIDO的目標就是要為使用者提供「無密碼」的全新體驗，來提高網路服務的安全性，同時也讓企業大幅降低建置成本。而這次活動在臺舉行，也將讓國內政府和產業，共同重視這個全球趨勢。（圖片提供：神盾）

各界導入FIDO應用實例，將成為臺灣企業、產業與政府的借鏡

對於FIDO聯盟的發展近況，該聯盟執行董事Brett McDowell也現身說法。他再次強調FIDO聯盟成立的目的，是希望為各種網站和行動服務提供一套開放、互通的標準，而最主要的技術焦點，就是在安全模組與生物辨識方面，讓使用者不用再以傳統的輸入密碼方式，來進行身分辨識。

原因在於，近年基於密碼的身份驗證方式，造成的問題太多，像是資料外洩頻傳，主因是弱密碼、預設密碼，或是密碼遭竊，且網路釣魚攻擊事件也是針對帳號密碼而來。而為了解決密碼易遭破解，所採用的一次性密碼（One-Time Password）技術也有其問題，像是使用者不喜歡這樣的繁瑣過程，並且這種方式仍然會受到網路釣魚的威脅。因此，FIDO正推動新一代解決方案，來取代傳統密碼問題。

更重要的是，隨著今年新版FIDO2身分驗證標準的擴展，可望加速應用，因為目前W3C與ITU等國際組織都已經開始接納。例如，今年4月，FIDO聯盟與W3C在Web認證標準有了新突破，宣布FIDO2將涵蓋行動端與PC端的所有終端設備；而就在FIDO臺北研討會前夕（11月28日），FIDO也成為ITU標準x.1277與x.1278。同時，在這次FIDO大會的現場，也有Early Warning Service與微軟這兩家業者，分享FIDO2標準的使用案例。

簡單來說，FIDO認證的最大特色就是裝置端的身分驗證，以及線上身分識別相結合，並採非對稱公鑰私鑰來提供安全的保障。現場，FIDO聯盟執行董事Brett McDowell也說明他們的發展與近況。（攝影：羅正漢）（圖片來源：FIDO Alliance）

為促進身分識別技術的發展，從上午的議程現場，我們也看到在臺灣其實有不少國內外業者正積極推動，他們也以自身經驗分享不同應用經驗。

舉例來說，聚焦在行動與身分驗證的美商動信安全（GoTrust）提到他們在金融領域的發展，強調臺灣某銀行已開始為其行動銀行App導入FIDO解決方案，儘管業界現行是以簡訊OTP為常用的機制，但使用體驗並不夠好，像是用戶仍需等待簡訊、記住數字並填入，且簡訊OTP的安全近年也受質疑，而導入FIDO將可望進一步提升使用體驗，同時又能提升行動網銀App的使用率與交易次數。

專注在身分驗證的本土業者歐生全（Authentrend），也以日本資料中心與旅館業的應用為例，同時說明了產品整合USB、BLE、NFC介面，並透過指紋辨識，可以針對不同應用場景來使用，透過USB或卡片形式來為各種裝置進行認證，甚至他們也融合了藍牙Beacon的應用方式，進而作為辦公室內的識別證與追蹤之用。

另一家國內的IoT業者奇邑科技，則是針對物聯網應用所面對的安全問題，從智慧大樓、水稻田管理的場景，提出以FIDO認證作為密鑰管理的解決方案。

此外，提供多種數位憑證服務的臺灣網路認證（TWCA）也談到他們的TWID身分識別中心，已經將合作單位擴及到電信公司，近日他們就與國內五大電信商合作，新推動Mobile ID行動身分識別服務，將幫助做到更多跨平臺的應用，這也等於為身分識別應用帶來新的方向。

綜觀上述這些應用案例，不僅讓我們看到有臺灣金融業正在導入，並瞭解到，新世代身分識別技術在不同領域與面向的廣泛應用。

亞洲以韓國推動最積極，國內也有電信業者現場實際展示應用

在上述業者提供的應用實例之外，FIDO在這次論壇中，還邀請了亞洲各國代表前來臺灣，包括韓國、日本、泰國與印度，分享他們當地的應用與經驗，有助於國內企業進一步與世界接軌，見識到更多採用FIDO標準的實例，其中，又以韓國成果最為豐碩，已有31多家業者加入FIDO聯盟，是亞洲發展最積極的國家。他們在金融、通訊、教育、企業與政府部門都有FIDO部署案例，他們特別像是行動支付、信用卡公司、電商業者、電信業者等，都已經透過採用 FIDO 標準來提升服務品質與體驗。

同時，在大會現場的攤位上，我們也看到中華電信實際展示他們的FIDO產品與應用情境，據了解，目前中華電信內部的單一簽入已經整合FIDO，並有證券業者正準備導入。

在現場的示範情境中，是以國內行動網銀的身分識別機制來比較，目前現行的人臉辨識做法，大部分只能呼叫Apple的Face ID，在中華電信展示的應用情境而言，則適用所有手機，只要前鏡頭就能支援，跨裝置性高，在電腦上使用瀏覽器也能對應裝置來驗證。而建置上，假設網銀可以綁定FIDO功能，只要App結合SDK就可以整合。

目前看來，許多銀行或是電子支付App所搭配的生物識別機制，已經擴展了日常使用上的方便性。而FIDO認證的採行，將進一步強化應用的安全性，例如傳輸上能夠遵循國際標準的協議，認證過程也與PKI等級相當，因此，將來這些應用勢必往更安全的方向邁進。當然，不只是金融領域的應用，線上身分認證技術也將成為整個網路的基礎建設的一環。

FIDO認證產品超過500項
臺灣業者也有多項符合規格產品

關於FIDO認證的UAF、U2F與FIDO2等規格產品，臺灣產業的發展也不落人後。我們從FIDO聯盟的官方網站來看，在超過500款通過認證的產品，已經有不少國內業者積極投入，包含符合規格的伺服器、用戶端、與驗證器等。舉例來說，神盾已經有9款產品經過認證，中華電信有6款、歐生全則是4款。而從民眾較熟悉產品面來看，包含像是Yubikey、Google的安全實體金鑰（USB Security Tokens），Google的登入服務，甚至聯想的筆電產品。