隨著網路的發展,近年來身分識別也不斷跟著演進,例如,身分識別途徑的轉變,從臨櫃辦理轉向Web網頁應用,前些年又逐漸朝向智慧型手機的應用場景,不過,在新興技術推動之下,對於身分識別的應用趨勢與技術趨勢,現在有那些發展重點值得我們關注?在10月底,資策會產業情報研究所產業分析師黃仕杰公布相關趨勢觀察,從兩大層面來剖析,讓各界能瞭解國際間新的身分識別服務發展方向,以及需要重視身分識別責任的轉變。
身分識別服務發展差異大增
以身分識別服務面向而言,除了強調帳號保護,資策會認為可關注的新焦點是,現今已發展不同特色身分識別服務,這些特色包括:具有SaaS雲端服務型態,偽造證件預防,詐欺預防,以及因應監管需求的一站式服務。
隨著身分識別技術的不斷轉變,不論是密碼輸入、OTP、多因素驗證等,但對於應用層面而言,目的都是識別用戶。但是,黃仕杰表示,現在的身分識別與過去身分識別相比,有三大不同,首先是身分識別的途徑不同,從臨櫃、電腦端作業到智慧型手機使用,第二是身分識別的方法不同,從雙證件辦理、帳號與密碼驗證,到生物辨識,特別的是,第三是技術關注重點的不同,這是大家較少關注的部分。
黃仕杰解釋,過去身分識別強調帳戶保護的技術應用,但現在為了因應身分識別途徑改變,以及為滿足洗錢防制與打擊資助恐怖主義(AML/CFT),而有監管需求,進而發展出具有不同特色的身分識別服務,而且國際間已經有多家業者投入。
例如,愛爾蘭一家雲端服務業者id-pal,其特色是允許銀行等企業,能夠透過軟體訂閱方式,來委託該公司進行用戶的身分識別,讓客戶透過id-pal提供的客制化軟體,可以到登入銀行帳戶。
來自加拿大的業者Trulioo,是專注於偽造證件預防,該公司將蒐集多方來源資料,特別是來自社群媒體、報章雜誌等非結構化資訊,供金融機構等查詢企業資料,藉此比對用戶上傳的資訊,預防有人透過偽造身分資訊開戶。
另一家專注於詐欺預防的美國業者Jumio,則是要求用戶登入時上傳自拍照,以短影片錄製搭配臉部辨識,避免僅利用照片或面具,而可能有冒用情形的開戶行為。
還有另一家美國業者NICE Actimize,特色是提供因應監管需求的一站式服務,包括身分識別、交易分析與異常交易報告自動產出等,而且企業可以依據需求任意選用這些功能,相當具彈性。
綜合來看,上述這些應用也還有些共通點,例如,有許多都會以AI,來簡化身分識別與認證流程,以及可透過Web或API介接他們的資料庫。
黃仕杰並提到,上述概念與當前推動開放銀行類似,因為第三方服務公司(TSP)是依據銀行所提供的資訊,進而提供服務,也就是信任基礎架構在銀行之上,而銀行本身是受高度監管行業,所以資料具備高可信任度,讓TSP業者願意接收銀行所提供的資訊。
近年國際間出現不少新興的身分識別服務,資策會產業情報研究所產業分析師黃仕杰歸納出4個發展特色,包括,SaaS雲端服務型態,偽造證件預防,詐欺預防,以及因應監管需求的一站式服務,他並認為一站式服務是業者可以考慮的拓展方向。
迎接開放銀行潮流,做好身分識別將是重點
臺灣企業該如何看待身分識別服務?黃仕杰表示,由身分識別擴展至一站式服務,是業者可以考慮的服務發展方向,這是未來新的商機,可因應不同場景需求,提供客製化的身分識別軟體服務。同時,他也指出AML與CFT是一大焦點,銀行等金融機構與Fintech新創公司都在關注。
另外,這方面的發展,他也以國內執行身分識別最徹底的行業──銀行業來舉例,現在不論網路銀行、數位銀行與純網銀,都提供用戶透過網頁或行動App方式,來進行用戶的身分識別,但是,他們的身分識別都採內部部署方式進行,這與前述提到歐洲採雲端服務的作法,並不相同。
他認為,這與國內推動開放銀行(Open Banking)歷程比較晚,有相當大的關係,因為像是英國等,他們在2015年開始推動開放銀行,相關產業發展也非常快速,在此趨勢下,他們就已經把客戶資訊分享出去,換句話說,客戶身分識別的責任,就已經從銀行慢慢轉移到TSP業者。
而以國內環境而言,由於臺灣才剛開始推動開放銀行,他認為,對於國內TSP業者而言,身分識別將是優先著重的面向,而FinTech新創業者同樣須負起身分識別責任,尤其是涉及資金流的業者,不論是線上匯款,線上投保,或是提供線上融資、線上貸款服務的業者,提供消費者行動服務的同時,如何做好身分識別相當重要,應採預先、預備方式管理用戶身分識別。因此,他認為,身分識別在國內事實上有相當大的市場。
而從國內發展現況來看,臺灣已有相關業者,他以設備供應業者與軟體服務業者來舉出,例如,提供實體安全金鑰的歐生全,以及提供OTP簡訊驗證服務的三竹資訊等。
較特別的是,他還提到國內兩家值得關注的新創業者,像是2019年成立的數位身分(Authme),該公司的技術特點在於,以護照作為建立數位身分的基礎,結合OCR、臉部辨識與動作偵測,預防詐欺事件;另一是2016年成立的遊戲思維(PeekurFinance),也是蒐集多方來源資料,提供個人企業徵信,同時也會針對非結構化資訊蒐集負面新聞資訊,並提供交易分析。
展望身分識別的未來發展,黃仕杰指出,在開放銀行推動的態勢下,身分識別責任也將有所轉變,由銀行延伸至TSP業者。
從身分識別趨勢來看,黃仕杰從兩個面向來談,分別是技術趨勢與數位身分標準趨勢,技術上FIDO就是重點,標準趨勢上則有去中心識別碼(DID)的演進,他並強調,兩者目的都是要推動用戶對自己身分的自主管理。
身分管理權回到用戶手上,數位身分將朝跨平臺互通
對於身分識別的未來發展,首先是技術趨勢,黃仕杰提到近年備受關注的FIDO身分應用,這項技術的最大特色就是,拆分了身分識別與身分驗證功能,強調身分識別中的身分驗證功能將回歸用戶,由用戶執行,同時,在身分驗證的技術上,會朝向採取生物特徵辨識這類無密碼方式來執行。而且,這樣的技術現在已經開始被逐漸採行,包括線上金流PayPal、美國銀行BOM,以及雲端服務臉書、Google等,而且,多家主流瀏覽器也都已經支援。
另一個趨勢是關於身分表示標準,他提到去中心識別碼(DID)的演進,將讓原本不同平臺間,各自獨立的數位身分,朝向跨平臺互通。這是由國際標準組織W3C提出,是一種新形態的去中心化數位身分表現方式,在這個標準之下,往後將採取分散式帳本或區塊鏈技術建構,平臺之間的數位身分可允許互通。
從上述兩大趨勢來看,他強調,其實主要目的都只有一個:「都是為了要推動用戶對自己身分的自主管理。」
對此,他也以GDPR推動來舉例,用戶具有個資的被遺忘權,以及用戶個資的轉移權,從個資保護到數位身分,其實都在強調要將管理權與所有權回歸到用戶,因此,他們觀察到未來趨勢就是用戶自主管理。
同時,他也以用戶的密碼以及用戶的帳號,分別舉例說明。簡單來說,用戶密碼將由用戶自行保管,身分驗證從用戶端執行,用戶帳號則強調自主管理權,而且,用戶可以依據各行業特性,來揭露不同程度的身分資訊,例如,若要進入賭場,就只需要揭露自己年齡的資訊即可。
在這樣的環境底下,對國內業者會有哪些影響?他提到,設備供應業者所提供的軟體安全金鑰與實體安全金鑰,都必須符合一定的安全性;而對軟體服務業者來說,將依據不同的行業需求,提供客制化的身分識別軟體服務。
對於身分識別的發展,臺灣的設備供應業者與軟體服務業者日後可以如何看待?黃仕杰認為,可分別從FIDO驗證標準,以及W3C去中心化識別碼標準去思考,前者可聚焦在用戶生活需求,後者則可發展不同行業客製化軟體服務。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23