【FIDO先行者經驗：中國信託銀行】銀行要發揮FIDO 4大好處，得先克服3項挑戰

「金融行動身分識別聯盟F FIDO，將是金融業打通數位金融任督二脈的關鍵。」中國信託銀行作業暨資訊處資訊二部部長陳晞涵強調。他更進一步分享自家導入FIDO的經驗、FIDO目前的優缺點，以及對於未來F FIDO發展的期待與建議。

金融服務行動身分識別，是消費者進入數位金融的第一關，因此，金管會規畫研究發展金融行動身分識別標準化機制，由金融機構共同籌組金融行動身分識別聯盟F FIDO，研擬規畫導入國際FIDO標準，初期將針對中低風險的金融服務，提供通用的行動身分識別與簽署功能。

中國信託銀行（簡稱中信銀）在2017年便開始導入FIDO進行開發，是臺灣最早導入國際FIDO標準的金融機構，隔年4月，連帶新一代行動銀行Home Bank App上線之際，也正式將FIDO導入，目前功能包括簡易登入如人臉辨識、指紋辨識，以及轉帳類交易認證，都有使用FIDO的機制。

陳晞涵揭露，中信銀共有360萬名行動銀行App顧客，每天登入大約有100萬人，其中有75%的顧客，是使用FIDO機制登入。中信銀之所以導入FIDO，共有4大考量。首先是，使用者體驗良好，由於FIDO驗證器是是與中信的行動銀行App一同安裝，所以，使用者只要下載App便可開通使用。

第二，也是中信銀認為最重要的關鍵，陳晞涵表示，那就是開放標準的支持，目前主流設備廠商都有支援FIDO，所以中信銀可以簡化各個平臺相容性的建置。「建置同一套機制，便能通吃全部的生物認證或簡易認證。」第三，FIDO認證規格多元，現今主流的人臉辨識、指紋辨識都囊括，這也是中信銀選擇導入的原因之一。

第四是架構端的考量，陳晞涵提到，可以快速導入產品標準，對於中信銀來說是技術架構端的優勢，各式裝置的認證端，比如Face ID、Touch ID，都可以透過同樣一套通用認證框架（UAF）導入，減少每次不同設備、不同的認證機制，需要重複開發的過程。所以，面對顧客使用的不同的手機機型與型號，中信銀IT都能快速在FIDO框架進行生物辨識認證，不用各別進行技術的介接。

目前，中信銀在個人金融的應用，是導入UAF標準；陳晞涵透露，中信銀下一代法金行動銀行也正在導入FIDO，以及，中小企業網銀與行動銀行，這兩者都會考慮導入FIDO通用第二因素框架（U2F）的認證，預計在未來會陸續上線。甚至，中信銀也評估，未來導入FIDO2的可能性，不過，還需考量FIDO相關產品廠商在FIDO2的認證進度，中信銀計畫等到市場成熟時再導入，或許在法人交易簽章等地方可使用。

中國信託銀行作業暨資訊處資訊二部部長陳晞涵認為，打通身分驗證只是關鍵第一步，中信銀更為期待，F FIDO能做到跨機構資料的授權。圖片來源／中國信託金控

不只導入FIDO的諸多好處，陳晞涵也點出目前FIDO的3大挑戰。第一，沒有設備端合法的認證。雖然可以得知使用者的ID和所用的服務是合法，但無法判斷所用的設備是否合法（這個裝置是已註冊的合法裝置）；所以，中信銀在導入時，就多加了設備綁定的功能，讓轉帳交易應用更為安全。

第二大挑戰是，現在的FIDO框架，並沒有說明私鑰保護機制的明確做法；這部分，中信銀選擇自己做資料保護的機制，比如動態加密金鑰、白箱加密保護金鑰等。不過，陳晞涵坦言，倘若未來主管機關或銀行公會有新的要求，對於中信銀來說就會是一個挑戰，可能得要重新開發一套新的金鑰保存方式。

第三是，中信導入FIDO框架當時，還沒有「生物驗證辨識率的標準」（編按：FIDO聯盟直到2018年9月才發布生物特徵元件認證標準）。不同手機裝置的生物辨識強度並不一致，比如有一些白牌手機的指紋辨識，可能很容易破解，陳晞涵表示，更多是這些白牌手機的生物驗證辨識率，如錯誤辨識率（FAR）、拒絕識別率（FRR）的標準不合格。他直言：「這是資安上很大的挑戰」。目前，中信銀的作法是與資安情報廠商合作，藉由黑名單來管控哪些設備的生物辨識已被破解，如果有顧客使用黑名單中某個廠牌的型號，該名顧客就不能夠使用中信銀的FIDO機制。

一旦導入國際FIDO標準，建置F FIDO這樣的機制，各家金融機構包括銀行、保險、證券，就可以遵循同一套行動身分識別共通標準，來降低應用上的困難度與開發成本。未來，各家金融機構身分識別強度提升到同一水準時，便可做跨機構行動身分識別互通。陳晞涵表示，在第三方場景的申請類應用，如數位存款開戶、信用卡開戶這類，是金融機構可以做的事。

甚至，陳晞涵認為，F FIDO將成為打通數位金融任督二脈的關鍵。他解釋，許多金融機構在推動數位金融時，有個使用上的瓶頸，消費者要開立銀行的第一類數位存款帳戶的第一個關卡，就必須使用自然人憑證開戶。

「如果能夠透過 F FIDO，取代自然人憑證或是其它硬體憑證的使用，中信銀認為，對金融機構在推動數位金融，將是非常有利的開始。」陳晞涵建議，或許讓消費者使用金融卡來開通FIDO，方便性就會變得非常高，在推動數位金融就會更加快速，因為，大部分的民眾至少都會有一張金融卡。

不過，不管未來F FIDO的開通是採用自然人憑證、金融卡，乃至未來要推出的數位身分證（eID）或是其他作法，陳晞涵強調，中信銀都會就主管機關的公告，來配合政策走向。

然而，打通身分驗證只是第一步，中信銀更為期待下一步，「F FIDO能做到資料的授權。」陳晞涵提到，未來，或許在主管機關的開放下，F FIDO能與開放銀行第二階段，或是國發會的My Data平臺接軌，如此一來，金融機構就可以在業務上有其他新的應用變化。

他舉例，若能串接如財團法人保險事業發展中心，取得顧客在其他保險公司的保單資料，便能幫顧客做保單健檢。另一項中信銀認為可能的應用是，透過F FIDO跨金融機構認證，在顧客的授權下，從其他金融機構取得顧客的財富管理資料，替顧客做財富管理健康檢查。

亦或是，透過F FIDO，到內政部的相關單位取得顧客的收入資料，銀行端便可以更快核准顧客的信貸、房貸申請，這部分是消費金融的應用。不過，陳晞涵表示，這一切的前提，還是得依照金管會後續的政策方向，以及各個金融機構釋出資料的意願。

更正啟事(2020/11/18)：原文提及金融行動身分識別聯盟英文簡稱「F-FIDO」，金管會來信澄清說明，將不採用「F-FIDO」名稱，改以「F FIDO」稱呼​，內文已更正。

更正啟事(2020/11/19)：內文提及FIDO框架沒有生物驗證辨識率的標準，有誤，正確應為中信2017年開始導入FIDO時，還沒有標準，FIDO聯盟直到2018年9月，才發布生物特徵元件認證標準，內文已更正。