【遊戲點數儲值服務業Passkey應用實例：智冠科技】MyCard帳號安全再強化，App登入有FIDO加持

身為臺灣知名遊戲通路業者的智冠科技，旗下MyCard服務已是該公司的重要業務，為了強化用戶帳號的登入安全，今年7月，該公司針對MyCard App的登入，新增加FIDO生物識別登入功能，成為臺灣首波導入Passkey的業者之一。

MyCard是許多遊戲玩家熟悉的點數儲值平臺，營運至今長達17年，不僅為玩家提供更便利的支付方式，也為遊戲開發商帶來更多商機。然而，隨著網路犯罪日益猖獗，用戶帳號安全一直是MyCard面臨的重要挑戰。

因此，智冠科技從MyCard服務上線以來，持續強化用戶帳號安全，以今年而言，7月22日正式推出基於FIDO標準的生物識別機制，於MyCard App導入Passkey無密碼登入，讓使用者能以更安全、便利的方式進行身分驗證。

因應詐騙與帳號盜用，帳號安全機制需要持續疊加與升級

為何導入FIDO無密碼網路身分識別？智冠科技網路發展部經理李哲瑋表示，這要從先前的帳號防護經驗談起。

過去幾年來，為了防範MyCard服務上的詐騙與帳號盜用問題，智冠科技不只是要建立防詐機制，也推出多項帳號安全機制，並持續關注更進一步的作法。

例如，2007年MyCard服務上線的會員帳號Email驗證，2012年增加晶片卡、MOTP、通訊鎖的進階驗證，到了2014年，加入安全支付密碼機制，也就是帳號點數交易轉移需額外輸入支付密碼。

2018年出現重大轉變！因為智冠科技將MyCard會員註冊系統優化後，要求所有會員帳號都必須完成手機號碼綁定；2019年繼續增加單一行動裝置綁定，加強MyCard App登入安全性；2021年進一步針對會員註冊的IP位址與國別，導入相關條件驗證，避免跨區帳號盜用。

2022年是新的轉捩點！此時他們新增手機生物辨識登入的機制，讓用戶的登入可以更簡便，但他們留意國內金融業積極導入基於FIDO的生物識別技術，以及「TWID身分識別中心」在MID（Mobile ID）門號認證的發展。

因此，他們展開FIDO技術的可行性評估，今年開始展開行動，主要因為得知數位發展部數位產業署有相關推動，也就是「數位信任場域服務實地驗證計畫」，於是，智冠在3月決定參與該計畫的FIDO應用項目。

李哲瑋透露，他們這麼做還有另一層考量。由於智冠科技用戶涵蓋多國，不只臺、港、澳，以及中國、東南亞，還有少數歐美玩家，若符合FIDO國際標準也有額外效益，像是國際廠商合作方面，因此先聚焦Passkey的導入。

至於前述提到的MID行動身分識別，雖然是以國內電信門號為主，但他們認為這是後續可以關注的重點，希望對用戶帳號安全防護帶來更好的效益。

初期以MyCard App登入應用為主，兩大考量是關鍵

關於導入Passkey、推出FIDO生物識別快速登入，智冠科技目前將這項功能提供於MyCard App。為何只有App登入應用此技術？李哲瑋解釋，主要有兩大考量。

首先，根據他們的內部統計顯示，大部分用戶都透過行動裝置使用其服務，其次，現階段用戶在電腦登入會員時，已有不需在網站輸入帳密的方式，並且都是需要透過MyCard App執行。

例如，用戶在電腦操作會員登入時，可用MyCard App推播通知，在手機點擊確認是本人操作，就能完成帳號登入，以及開啟MyCard App並掃描網頁上的QRcode來登入。

基於上述這兩項考量，他們選擇以MyCard App作為前期FIDO導入重點。

以智冠科技的導入歷程而言，今年3月開始進行前期評估，5月到7月是建置期，並在7月22日正式對外提供。而在推出之前，還經過一個星期的內部測試，而且從6月就開始對用戶宣導，鼓勵他們升級使用FIDO登入。

李哲瑋表示，評估導入FIDO時，他們聚焦兩個面向，一是會員登入機制是否需要相應的調整，一是自行開發或與外部廠商合作。

由於這次計畫有時間壓力，加上智冠內部的程式都是內部人員開發，因此他們擔心與外部廠商合作時，會因為溝通而導致時程延宕，加上公司本身的產業鏈與其他領域不同，客製化需求不少，以及希望自己在使用者流程的掌控度更高，以便提供更好的客戶體驗，最終決定自行開發設計。

不過，對於該公司的技術團隊而言，FIDO2是陌生的新技術，他們因此找到工研院，請專家提供協助，讓公司能夠順利導入。而且，該公司也開發對應FIDO2標準的驗證伺服器，並取得FIDO聯盟的認證。

之所以取得這項認證，李哲瑋表示，目的不僅是希望獲得用戶信任，也符合他們推廣FIDO應用範圍的長期策略，目前他們也正持續評估FIDO技術在子公司內的應用場景，並計畫將此技術擴展至數位內容合作夥伴。

另外，智冠科技也談及導入背後也有設備與隱藏成本要注意，例如，隨著更多用戶啟用FIDO登入，他們也持續擴大FIDO伺服器的建置，從原本1臺，擴增至4臺，到現在的8臺，還有開發與業務團隊付出的時間與人力，以及宣傳內容製作、行銷、抽獎活動等。

傳統生物識別登入已過時，FIDO生物識別讓安全再升級

關於這次升級FIDO生物辨識，智冠科技提到他們面臨的一項挑戰，就是如何與用戶溝通、說明升級的必要性。

這是因為，該公司在2022年已推出手機生物辨識登入，在2024年7月新升級FIDO生物識別登入，但對MyCard App用戶而言，這兩種方式在後續登入的操作，可能沒有明顯差異。

李哲瑋強調，在帳號安全上，這兩種機制的防護強度並不相同。

簡單來說，MyCard App在2022年提供的手機生物辨識登入，主要是結合iOS與Android裝置本身的生物識別功能，作法較傳統；現在新提供的FIDO生物識別登入，背後採用國際FIDO聯盟訂定的網路身分識別標準，當中結合公開金鑰加密架構與生物辨識技術，讓伺服器端只有保存公鑰，將身分驗證在裝置端進行，提供更好的網站登入安全機制。

具體而言，他們採用FIDO2標準所衍生的Passkey，目前智冠科技在iOS與Android手機端採用的FIDO2標準驗證，其實就是應用蘋果與Google的Passkey通行密鑰。例如，當我們在iPhone手機登入MyCard App，此時可以看到Face ID生物辨識的登入畫面，顯示是以Passkey進行無密碼登入。

因此，為了促進用戶理解這次升級的原因，李哲瑋表示，智冠科技在機制上線前一個月，就設立宣傳網站，希望提早讓用戶知道為何要升級，了解FIDO是國際標準，藉此提升用戶的接受度。而且，在用戶帳號安全方面，智冠科技還有新的想法，像是以標章顯示會員安全等級，促進用戶完成更進階的驗證。

對於用戶帳號安全的發展態勢，李哲瑋亦有許多感觸，因為他們也觀察到，在韓國、日本遊戲產業中，對於玩家的帳號登入也變越來越嚴謹。從輸入帳號密碼就能遊玩，現在很多遊戲也會強調啟用現在流行的裝置綁定。

而以MyCard服務而言，過去他們已經推出多項帳號安全機制，他認為，目前MyCard服務提供FIDO無密碼登入機制，也保留帳號密碼的機制，因此種種安全機制應該要持續疊加，畢竟完全無密碼的時代還沒有那麼快到來。

 智冠MyCard服務推8大帳號安全機制 

  時間       新增帳號安全機制 

 2007年     MyCard平臺的會員服務機制上線，提供會員帳號Email的驗證。 

 2012年     增加進階驗證機制，包括晶片卡、MOTP、通訊鎖。 

 2014年     增加進階驗證機制，提供會員帳號點數轉移時的安全支付密碼機制。 

 2018年     會員帳號增加手機門號綁定，等於需經過手機號碼與Email的雙驗證，才能使用MyCard服務。 

 2019年     針對MyCard App會員登入，提供單一行動裝置綁定機制。 

 2021年     增加進階驗證機制，針對會員註冊的IP位址、國別，進行條件驗證。 

 2022年     針對MyCard App提供串接手機生物辨識的登入機制。 

 2024年     針對MyCard App升級FIDO生物識別機制，提供基於FIDO2標準Passkey的更安全登入。 

資料來源：智冠科技，iThome整理，2024年11月

 相關報導