隨著網路行動銀行普及,線上的安全升級也成必然趨勢,只是,傳統登入時的密碼問題不斷,簡訊OTP的方式也可能不再安全,因此,FIDO線上身分識別的發展備受關注。

近年來,金融業也同樣關注此一趨勢,例如,在2015年,美國銀行(Bank of America)就是全球首家導入FIDO驗證的金融業者,讓用戶透過iOS與Android手機使用銀行App時,能有安全又簡便的驗證方式。

新的線上身分認證技術發展,臺灣金融業也在陸續投入,在2017年,隨著手機上的生物識別漸趨成熟,用戶使用指紋辨識登入App服務,臺灣金融業已有一些整合實例,提供用戶些許方便性,而隨著FIDO線上身分識別的發展,臺灣也有金融業開始導入FIDO。

例如,中國信託銀行在2018年率先跟進這股風潮,他們的行動銀行正式導入FIDO應用;到了今年,2020年5月,國泰世華也宣布,為提升自家行動銀行APP安全性,同樣導入FIDO標準。

截至目前為止,我們也打聽到至少還有5家銀行業者,正在導入FIDO,同時,金融監督管理委員會(金管會)也在今年8月,公布金融科技發展路徑,當中提到將研擬規畫導入國際FIDO標準,推動金融業共同籌組金融行動身分識別聯盟F FIDO,這樣的趨勢,已經側面佐證了臺灣金融業正積極擁抱FIDO,加速線上身分識別的新變革。

中國信託是國內先行者,每天有75萬用戶以FIDO登入

關於臺灣金融業在FIDO應用的現況,是否已有很多用戶透過FIDO來進行線上身分識別?

首先,我們找的是中國信託銀行,該公司作業暨資訊處資訊二部部長陳晞涵表示,他們是在2017年開始規畫導入,到了2018年4月他們的行動銀行「Home Bank」App大改版(舊稱中信行動達人)之際,率先提供FIDO驗證的支援,不只提供人臉辨識、指紋辨識的登入,轉帳類交易確認也能透過以此認證。

對於用戶應用FIDO機制登入的現況,陳晞涵表示,目前他們的「Home Bank」App的用戶已達360萬人,且每日登入就有100萬人,當中有75%是使用FIDO機制登入,因此他們認為使用者接收度已經很高,目前他們導入的是FIDO UAF標準,也就是在中信端建置UAF伺服器,服務也相當穩定。顯然,國內已有大量用戶運用到新的FIDO線上身分識別標準。

為何當時他們看重FIDO?陳晞涵表示,在2017與2018年時,當時大眾對生物認證的接受度變高,需求也較多,所以他們希望透過生物辨識機制增進使用者體驗,提供簡單方便、可以不用密碼,且安全性高的登入方式。

不過,他表示,當時行動銀行App要做生物辨識認證,其實不一定要導入FIDO,之所以這麼做,他們有3個主要的考量,首先是開放標準的支持,他認為這點相當重要,可簡化各個平臺相容性的建置,而且FIDO驗證器可隨著中信的行動銀行App一起安裝,對使用者體驗也不影響;其次是FIDO提供多元的認證規格,已經包含現在主流的人臉辨識、指紋辨識等;第三是在技術架構端,FIDO的作法,可以為他們帶來快速的開發,各式裝置的認證端,都可以透過同樣一套UAF通用認證框架導入。

在他們過去經驗中,沒有導入FIDO,對IT單位開發很麻煩,因為他們要分別在每個設備端測試,例如每種手機型號需要各別進行技術的介接與測試,因此僅能先針對主流手機品牌提供支援,不容易大規模推廣。但有了FIDO,可因應在不同的設備、認證機制上需重複開發的過程。

當然,對於早年導入FIDO UAF的情況,陳晞涵也給出了一些處理經驗。例如,他們為了讓轉帳交易應用更安全,在導入時增加了裝置綁定的機制。

此外,對於私鑰保護的機制,他們除了參考FIDO的規範,還考量到動態加密金鑰、白箱加密保護金鑰等。另外,他們還與資安情資業者合作,當發現有設備的生物辨識已被破解,將透過黑名單的方式來管控,讓使用該廠牌型號的用戶手機無法應用他們的FIDO機制。

不過,對於這方面,我們後續有注意到,FIDO架構對私鑰保護機制的規畫上,針對FIDO裝置(Authenticator)有定義4個認證等級,每個等級都有其私鑰保護的要求。另外,先前FIDO聯盟已提出生物特徵元件認證(Biometric Component Certification),也就是說,FIDO有生物辨識率標準跟認證機制,若是自行開發的設備或軟體模組,是可以送FIDO進行生物特徵辨識驗證。此外,作業系統內建的生物驗證裝置,也會有其生物驗證辨識率的標準。

今年上半國泰世華導入,並在網銀App上宣導此種作法的好處

在今年5月,擁有435萬數位用戶數的國泰世華,宣布導入FIDO國際標準,應用於旗下「國泰世華行動銀行」與「KOKO」App,用戶可在App內設定升級,強化用戶在登入帳戶時的安全性。而他們App之前提供的人臉辨識註冊,則不再用於登入功能,惟仍可使用於App非約定轉帳交易認證,以及重設網銀密碼。

相當不錯的是,他們讓FIDO一詞更直接出現在大眾消費者眼中,在他們提供的App介面上,會簡單說明FIDO標準與生物辨識,以及所帶來方便與安全性。例如,在App上的介紹,指出他們的快速登入機制,採用FIDO所建立的國際級標準,以非對稱金鑰技術為基礎的技術,提供更堅單與更具安全性的驗證方式。這樣的作法,我們認為,也將帶動消費者對FIDO的認識。

關於導入FIDO後的現況,國泰金控數位數據暨科技發展中心協理陳冠學表示,至今已有超過120萬客戶申請使用,目前他們導入的是FIDO UAF標準,也正評估規畫FIDO2的相關應用,至於雙因素認證的U2F的標準,由於他們已建立交易認證碼作為雙因素認證機制,因此現在暫無應用場景。

而他們導入FIDO的原因,同樣是考量到FIDO的優點,能提供客戶便利的操作模式,並兼顧安全控管,包括像是國際標準的驗證機制,身分驗證是在手機端進行,搭配非對稱公鑰私鑰架構,與線上身分識別結合,而且,FIDO涵蓋生物辨識技術及硬體安全模組的搭配,可強化安全與便利性。陳冠學說,FIDO驗證較為嚴謹,當用戶移除App或手機重置時,如果僅使用FaceID驗證客戶,其實仍可登入,而在FIDO架構之下,將須重新註冊。

在導入FIDO後,對用戶而言,會不會很難適應?事實上,他們App操作方式沒太大不同,主要是首次使用FIDO驗證時,客戶需進行啟用註冊,若是用戶新換手機,則將需要重新註冊。

至於導入FIDO的困難與挑戰上,陳冠學指出,導入身分驗證新系統,將依規範經法遵、風管、資安、資訊及專案團隊一起規畫,以確認各項設計符合法規與資訊安全上的要求,同時,在用戶裝置端的要求上,他們的規畫方向是以不改變用戶原有操作行為,又可大幅提升資訊安全性的方式做設計。

今年有更多銀行業者投入FIDO,企業金融App也將導入

國內導入FIDO不只上述如此!今年開始,我們發現臺灣金融領域已經動起來,有更多的銀行業已經在導入階段,同時,我們也注意到應用新趨勢,不只消費金融的個人行動銀行App,企業金融的行動銀行App也將導入FIDO。

從金融業應用解決方案廠商這邊,我們打聽到,國內至少還有4家以上的銀行要導入,雖然有哪些業者我們暫時還不得而知,但今年底就可能有新的業者宣布FIDO應用上線,因此,這樣的應用趨勢未來仍值得繼續關注。

另一方面,中國信託銀行陳晞涵透露,他們的下一代法金(企業)行動銀行也正準備導入FIDO,而中小企業網銀也會導入U2F認證,只是用戶端的認證介面與裝置還未定案,仍在評估。

關於FIDO在企業行動銀行App的應用,過去較少聽聞,除了中國信託銀行正開始這麼做,我們從廠商端也聽到相關消息,雖然FIDO導入仍以個金行動銀行為主,但企業行動銀行也有進行中的案例,而且,不論是Web介面網路銀行,或是企業網路銀行App,銀行業都有考慮要應用FIDO。

無論如何,2021年我們應該可以看到更多金融業應用FIDO的實例。

 臺灣早有行動銀行導入FIDO,中國信託是首例 

中國信託銀行2018年於「Home Bank」App,導入了FIDO UAF標準,雖然App介面並無提到FIDO,但用戶啟用指紋、臉部登入,以及綁定裝置後,背後就是運用FIDO,他們並透露自家法金行動銀行也正導入。

 

 國泰世華今年宣布旗下兩款App登入導入FIDO 

國泰銀行在今年5月,開始將FIDO整合至網銀App,強化旗下「國泰世華行動銀行」與「KOKO」App的登入安全,提升用戶帳戶安全。特別的是,在他們的App介面上,明白指出新的登入是採用FIDO標準,並宣導此種作法的好處。

 臺灣金融機構通用FIDO有譜 

今年8月底,國內金管會公布金融科技發展路徑,提出金融科技共創平臺,而在未來三年的60項新措施中,當中就有導入FIDO標準的規畫,將推動金融機構組成金融行動身分識別聯盟F FIDO,建構國內數位金融服務可通用的身分識別機制,而這項計畫,現在已有了初步的進展,金管會將在11月中下旬召開記者會正式宣布,預計2021年8月完成籌組。(11月中旬金管會表示,金融行動身分識別聯盟暫時以F FIDO稱呼,之後將會另有正式的名稱)

金管會表示,F FIDO將由金融科技共創平臺的數據治理組負責,由聯徵中心擔任召集人,將邀集相關周邊單位、公會與臺灣網路認證等參與,負責推動資料共享及行動身分識別聯盟等相關工作。

較特別的是,他們考量到修改相關法規再全面推動,可能較為曠日費時。因此,現行的規畫是採籌組聯盟方式,先訂定業界通用標準,由聯盟的成員向各業務局申請業務試辦,之後並將完成法規修訂。

至於F FIDO的未來應用情境,根據金管會的說明,將應用於中低風險的金融服務,例如開設第二、三類數位存款帳戶。

目前,國內金融機構數位存款帳戶已可透過自然人憑證、信用卡、存款帳戶等非簽名的方式,進行身分識別。然而,上述身分認證方式仍多需先經實體身分認證,或利用實體自然人憑證輔以視訊資料等。

因此,在未來通用的行動身分識別下,綁定行動身分識別服務的手機,可用自然人憑證或金融卡搭ATM來啟動綁定,並做到跨銀行、證券期貨、保險、周邊單位等做身分識別。同時,也希望藉由這樣的通用框架,可以提供簽署功能,用於電子下單以憑證簽署,做到交易不可否認性,或是在資料共享時,做到使用者授權的確認。

 

 廠商觀點:金融業為何看重FIDO? 

在2018年,我們看到國內已有多家軟硬體廠商取得FIDO聯盟的相關產品認證,包括神盾、歐生全、中華電信與美商動信等,關於金融業為何要應用FIDO,除了從銀行業者的角度來看,也可從提供的服務業者了解,而去年有一家專注金融業相關應用的廠商,跟進FIDO聯盟的相關產品認證,該公司是成立於1998年的偉康科技。

對於金融業導入FIDO,我們也請他們說明這些年所觀察到的現況。過去在2017年,有不少銀行業者在行動銀行App提供生物識別登入,這與現在的FIDO有何差異?對此,該公司技術長倪國凱表示,過去的機制是各家自己做,沒有統一規範,而現在FIDO是由國際FIDO聯盟規定的統一規範制定,因此在各方面相對保障。

他舉例,當時做法是以間接認證為主,由App呼叫作業系統驗證後,即將該認證服務定義的資料回傳,這裡的實作方式有許多差異,包括token、私鑰簽章、手機硬體資訊等,做法與FIDO規範完全不同。

而他們過去也有這方面的經驗,舉例來說,在幫助銀行客戶打造生物辨識快速登入時,早期他們採取的是類FIDO的作法,也就是部分符合FIDO規範,後續,在客戶建議與研發成本考量下,他們因此決定,直接研發符合國際FIDO聯盟認證的FIDO應用

對於未來國內金融業在FIDO的發展,他們指出,在沒有FIDO之前,像是銀行轉帳的驗證,多是採簡訊OTP,最近之所以會有許多業者詢問FIDO,可能是因為傳聞未來將限制不能再用簡訊OTP有關,因此,銀行現在也在尋找替代方案。

另外,對於用戶導入FIDO可能面對的挑戰,偉康也自身經驗來說明。例如,例如,客戶既有行動銀行系統非他們撰寫,在專案過程中又必須將FIDO整合,這種情化下,可能容易遇到程式品質參差不齊的問題,他們就必須多加注意。

此外,他們遇到有客戶的情形是,採用的解決方案只提供了FIDO伺服器認證,但FIDO驗證器與用戶端,就要企業自己依照FIDO規格去開發,或是再找另一家廠商配合的狀況。因此,考量解決方案廠商在不同FIDO標準的FIDO伺服器認證,以及FIDO用戶端與驗證器的驗證,是他們認為可以考量的要點。

 相關報導 

無密碼身分保護應用大爆發

其他相關報導:【金融科技生態圈關鍵發展策略3:金融行動身分識別標準化】靠FIDO建立數金服務通用驗證,奠定異業資料交換的基礎

熱門新聞

Advertisement