【金融業FIDO應用實例】行動銀行安全性提升，更多臺灣金融業建置FIDO，企金行動App也將跟進

隨著網路行動銀行普及，線上的安全升級也成必然趨勢，只是，傳統登入時的密碼問題不斷，簡訊OTP的方式也可能不再安全，因此，FIDO線上身分識別的發展備受關注。

近年來，金融業也同樣關注此一趨勢，例如，在2015年，美國銀行（Bank of America）就是全球首家導入FIDO驗證的金融業者，讓用戶透過iOS與Android手機使用銀行App時，能有安全又簡便的驗證方式。

新的線上身分認證技術發展，臺灣金融業也在陸續投入，在2017年，隨著手機上的生物識別漸趨成熟，用戶使用指紋辨識登入App服務，臺灣金融業已有一些整合實例，提供用戶些許方便性，而隨著FIDO線上身分識別的發展，臺灣也有金融業開始導入FIDO。

例如，中國信託銀行在2018年率先跟進這股風潮，他們的行動銀行正式導入FIDO應用；到了今年，2020年5月，國泰世華也宣布，為提升自家行動銀行APP安全性，同樣導入FIDO標準。

截至目前為止，我們也打聽到至少還有5家銀行業者，正在導入FIDO，同時，金融監督管理委員會（金管會）也在今年8月，公布金融科技發展路徑，當中提到將研擬規畫導入國際FIDO標準，推動金融業共同籌組金融行動身分識別聯盟F FIDO，這樣的趨勢，已經側面佐證了臺灣金融業正積極擁抱FIDO，加速線上身分識別的新變革。

中國信託是國內先行者，每天有75萬用戶以FIDO登入

關於臺灣金融業在FIDO應用的現況，是否已有很多用戶透過FIDO來進行線上身分識別？

首先，我們找的是中國信託銀行，該公司作業暨資訊處資訊二部部長陳晞涵表示，他們是在2017年開始規畫導入，到了2018年4月他們的行動銀行「Home Bank」App大改版（舊稱中信行動達人）之際，率先提供FIDO驗證的支援，不只提供人臉辨識、指紋辨識的登入，轉帳類交易確認也能透過以此認證。

對於用戶應用FIDO機制登入的現況，陳晞涵表示，目前他們的「Home Bank」App的用戶已達360萬人，且每日登入就有100萬人，當中有75%是使用FIDO機制登入，因此他們認為使用者接收度已經很高，目前他們導入的是FIDO UAF標準，也就是在中信端建置UAF伺服器，服務也相當穩定。顯然，國內已有大量用戶運用到新的FIDO線上身分識別標準。

為何當時他們看重FIDO？陳晞涵表示，在2017與2018年時，當時大眾對生物認證的接受度變高，需求也較多，所以他們希望透過生物辨識機制增進使用者體驗，提供簡單方便、可以不用密碼，且安全性高的登入方式。

不過，他表示，當時行動銀行App要做生物辨識認證，其實不一定要導入FIDO，之所以這麼做，他們有3個主要的考量，首先是開放標準的支持，他認為這點相當重要，可簡化各個平臺相容性的建置，而且FIDO驗證器可隨著中信的行動銀行App一起安裝，對使用者體驗也不影響；其次是FIDO提供多元的認證規格，已經包含現在主流的人臉辨識、指紋辨識等；第三是在技術架構端，FIDO的作法，可以為他們帶來快速的開發，各式裝置的認證端，都可以透過同樣一套UAF通用認證框架導入。

在他們過去經驗中，沒有導入FIDO，對IT單位開發很麻煩，因為他們要分別在每個設備端測試，例如每種手機型號需要各別進行技術的介接與測試，因此僅能先針對主流手機品牌提供支援，不容易大規模推廣。但有了FIDO，可因應在不同的設備、認證機制上需重複開發的過程。

當然，對於早年導入FIDO UAF的情況，陳晞涵也給出了一些處理經驗。例如，他們為了讓轉帳交易應用更安全，在導入時增加了裝置綁定的機制。

此外，對於私鑰保護的機制，他們除了參考FIDO的規範，還考量到動態加密金鑰、白箱加密保護金鑰等。另外，他們還與資安情資業者合作，當發現有設備的生物辨識已被破解，將透過黑名單的方式來管控，讓使用該廠牌型號的用戶手機無法應用他們的FIDO機制。

不過，對於這方面，我們後續有注意到，FIDO架構對私鑰保護機制的規畫上，針對FIDO裝置（Authenticator）有定義4個認證等級，每個等級都有其私鑰保護的要求。另外，先前FIDO聯盟已提出生物特徵元件認證（Biometric Component Certification），也就是說，FIDO有生物辨識率標準跟認證機制，若是自行開發的設備或軟體模組，是可以送FIDO進行生物特徵辨識驗證。此外，作業系統內建的生物驗證裝置，也會有其生物驗證辨識率的標準。

今年上半國泰世華導入，並在網銀App上宣導此種作法的好處

在今年5月，擁有435萬數位用戶數的國泰世華，宣布導入FIDO國際標準，應用於旗下「國泰世華行動銀行」與「KOKO」App，用戶可在App內設定升級，強化用戶在登入帳戶時的安全性。而他們App之前提供的人臉辨識註冊，則不再用於登入功能，惟仍可使用於App非約定轉帳交易認證，以及重設網銀密碼。

相當不錯的是，他們讓FIDO一詞更直接出現在大眾消費者眼中，在他們提供的App介面上，會簡單說明FIDO標準與生物辨識，以及所帶來方便與安全性。例如，在App上的介紹，指出他們的快速登入機制，採用FIDO所建立的國際級標準，以非對稱金鑰技術為基礎的技術，提供更堅單與更具安全性的驗證方式。這樣的作法，我們認為，也將帶動消費者對FIDO的認識。

關於導入FIDO後的現況，國泰金控數位數據暨科技發展中心協理陳冠學表示，至今已有超過120萬客戶申請使用，目前他們導入的是FIDO UAF標準，也正評估規畫FIDO2的相關應用，至於雙因素認證的U2F的標準，由於他們已建立交易認證碼作為雙因素認證機制，因此現在暫無應用場景。

而他們導入FIDO的原因，同樣是考量到FIDO的優點，能提供客戶便利的操作模式，並兼顧安全控管，包括像是國際標準的驗證機制，身分驗證是在手機端進行，搭配非對稱公鑰私鑰架構，與線上身分識別結合，而且，FIDO涵蓋生物辨識技術及硬體安全模組的搭配，可強化安全與便利性。陳冠學說，FIDO驗證較為嚴謹，當用戶移除App或手機重置時，如果僅使用FaceID驗證客戶，其實仍可登入，而在FIDO架構之下，將須重新註冊。

在導入FIDO後，對用戶而言，會不會很難適應？事實上，他們App操作方式沒太大不同，主要是首次使用FIDO驗證時，客戶需進行啟用註冊，若是用戶新換手機，則將需要重新註冊。

至於導入FIDO的困難與挑戰上，陳冠學指出，導入身分驗證新系統，將依規範經法遵、風管、資安、資訊及專案團隊一起規畫，以確認各項設計符合法規與資訊安全上的要求，同時，在用戶裝置端的要求上，他們的規畫方向是以不改變用戶原有操作行為，又可大幅提升資訊安全性的方式做設計。

今年有更多銀行業者投入FIDO，企業金融App也將導入

國內導入FIDO不只上述如此！今年開始，我們發現臺灣金融領域已經動起來，有更多的銀行業已經在導入階段，同時，我們也注意到應用新趨勢，不只消費金融的個人行動銀行App，企業金融的行動銀行App也將導入FIDO。

從金融業應用解決方案廠商這邊，我們打聽到，國內至少還有4家以上的銀行要導入，雖然有哪些業者我們暫時還不得而知，但今年底就可能有新的業者宣布FIDO應用上線，因此，這樣的應用趨勢未來仍值得繼續關注。

另一方面，中國信託銀行陳晞涵透露，他們的下一代法金（企業）行動銀行也正準備導入FIDO，而中小企業網銀也會導入U2F認證，只是用戶端的認證介面與裝置還未定案，仍在評估。

關於FIDO在企業行動銀行App的應用，過去較少聽聞，除了中國信託銀行正開始這麼做，我們從廠商端也聽到相關消息，雖然FIDO導入仍以個金行動銀行為主，但企業行動銀行也有進行中的案例，而且，不論是Web介面網路銀行，或是企業網路銀行App，銀行業都有考慮要應用FIDO。

無論如何，2021年我們應該可以看到更多金融業應用FIDO的實例。

 臺灣早有行動銀行導入FIDO，中國信託是首例 

中國信託銀行2018年於「Home Bank」App，導入了FIDO UAF標準，雖然App介面並無提到FIDO，但用戶啟用指紋、臉部登入，以及綁定裝置後，背後就是運用FIDO，他們並透露自家法金行動銀行也正導入。

 國泰世華今年宣布旗下兩款App登入導入FIDO 

國泰銀行在今年5月，開始將FIDO整合至網銀App，強化旗下「國泰世華行動銀行」與「KOKO」App的登入安全，提升用戶帳戶安全。特別的是，在他們的App介面上，明白指出新的登入是採用FIDO標準，並宣導此種作法的好處。

 臺灣金融機構通用FIDO有譜 

今年8月底，國內金管會公布金融科技發展路徑，提出金融科技共創平臺，而在未來三年的60項新措施中，當中就有導入FIDO標準的規畫，將推動金融機構組成金融行動身分識別聯盟F FIDO，建構國內數位金融服務可通用的身分識別機制，而這項計畫，現在已有了初步的進展，金管會將在11月中下旬召開記者會正式宣布，預計2021年8月完成籌組。（11月中旬金管會表示，金融行動身分識別聯盟暫時以F FIDO稱呼，之後將會另有正式的名稱）

金管會表示，F FIDO將由金融科技共創平臺的數據治理組負責，由聯徵中心擔任召集人，將邀集相關周邊單位、公會與臺灣網路認證等參與，負責推動資料共享及行動身分識別聯盟等相關工作。

較特別的是，他們考量到修改相關法規再全面推動，可能較為曠日費時。因此，現行的規畫是採籌組聯盟方式，先訂定業界通用標準，由聯盟的成員向各業務局申請業務試辦，之後並將完成法規修訂。

至於F FIDO的未來應用情境，根據金管會的說明，將應用於中低風險的金融服務，例如開設第二、三類數位存款帳戶。

目前，國內金融機構數位存款帳戶已可透過自然人憑證、信用卡、存款帳戶等非簽名的方式，進行身分識別。然而，上述身分認證方式仍多需先經實體身分認證，或利用實體自然人憑證輔以視訊資料等。

因此，在未來通用的行動身分識別下，綁定行動身分識別服務的手機，可用自然人憑證或金融卡搭ATM來啟動綁定，並做到跨銀行、證券期貨、保險、周邊單位等做身分識別。同時，也希望藉由這樣的通用框架，可以提供簽署功能，用於電子下單以憑證簽署，做到交易不可否認性，或是在資料共享時，做到使用者授權的確認。

 廠商觀點：金融業為何看重FIDO? 

在2018年，我們看到國內已有多家軟硬體廠商取得FIDO聯盟的相關產品認證，包括神盾、歐生全、中華電信與美商動信等，關於金融業為何要應用FIDO，除了從銀行業者的角度來看，也可從提供的服務業者了解，而去年有一家專注金融業相關應用的廠商，跟進FIDO聯盟的相關產品認證，該公司是成立於1998年的偉康科技。

對於金融業導入FIDO，我們也請他們說明這些年所觀察到的現況。過去在2017年，有不少銀行業者在行動銀行App提供生物識別登入，這與現在的FIDO有何差異？對此，該公司技術長倪國凱表示，過去的機制是各家自己做，沒有統一規範，而現在FIDO是由國際FIDO聯盟規定的統一規範制定，因此在各方面相對保障。

他舉例，當時做法是以間接認證為主，由App呼叫作業系統驗證後，即將該認證服務定義的資料回傳，這裡的實作方式有許多差異，包括token、私鑰簽章、手機硬體資訊等，做法與FIDO規範完全不同。

而他們過去也有這方面的經驗，舉例來說，在幫助銀行客戶打造生物辨識快速登入時，早期他們採取的是類FIDO的作法，也就是部分符合FIDO規範，後續，在客戶建議與研發成本考量下，他們因此決定，直接研發符合國際FIDO聯盟認證的FIDO應用

對於未來國內金融業在FIDO的發展，他們指出，在沒有FIDO之前，像是銀行轉帳的驗證，多是採簡訊OTP，最近之所以會有許多業者詢問FIDO，可能是因為傳聞未來將限制不能再用簡訊OTP有關，因此，銀行現在也在尋找替代方案。

另外，對於用戶導入FIDO可能面對的挑戰，偉康也自身經驗來說明。例如，例如，客戶既有行動銀行系統非他們撰寫，在專案過程中又必須將FIDO整合，這種情化下，可能容易遇到程式品質參差不齊的問題，他們就必須多加注意。

此外，他們遇到有客戶的情形是，採用的解決方案只提供了FIDO伺服器認證，但FIDO驗證器與用戶端，就要企業自己依照FIDO規格去開發，或是再找另一家廠商配合的狀況。因此，考量解決方案廠商在不同FIDO標準的FIDO伺服器認證，以及FIDO用戶端與驗證器的驗證，是他們認為可以考量的要點。

 相關報導 

無密碼身分保護應用大爆發

其他相關報導：【金融科技生態圈關鍵發展策略3：金融行動身分識別標準化】靠FIDO建立數金服務通用驗證，奠定異業資料交換的基礎