某日,A君手機突然跳出一則訊息,內容顯示:「【xx銀行】您的銀行帳戶顯示異常,請立即登入綁定用戶資料,否則帳戶將凍結使用。接著文末出現一行銀行的網址…」此時A君不疑有他,慌慌張張點進網址輸入帳號、密碼,一不小心就掉入駭客的陷阱。
同組帳號密碼 撞庫攻擊
「通常一般人都不具備檢查網域真偽的能力,讓駭客有機可乘,使用偽裝的釣魚網站,再化身成為銀行業發簡訊給民眾,不疑有他的民眾輸入身分密碼之後,瞬間,駭客便記下民眾的資料,作為進入銀行提領的依據。」偉康科技策略長黃閔綉表示。
特別值得一提的是,這樣的案例,幾乎每天在民眾的日常生活中上演,根據媒體報導,有一名駭客,假冒國泰世華、台新兩家銀行名義發簡訊,藉此騙取民眾銀行帳密,盜領存款,短短3天就有61人受騙,損失金額高達上千萬元。
2021年11月,類似的事件也發生在證券業,駭客用釣魚網站竊取民眾密碼進行「撞庫攻擊」,冒名購買港股等有價證券,造成多家證券業者受害,今年初,各券商不得不要求客戶全面修改密碼,修補資安的大漏洞。
元大金控數位長郭美伶不諱言地表示,當時,劵商遭遇撞庫攻擊之後,就立刻確認原因,本來推測可能是劵商內部的資料庫被駭客攻破,結果不是,原因是使用者密碼設定的習慣,讓駭客有機可乘,進而硬闖劵商的資訊系統。
郭美伶指出,民眾取得帳號時,通常密碼會被要求需以中英文、大小寫再搭配數字等設定強化安全,但為方便記憶,有些民眾會在不同平台上設定同一組密碼,於是駭客便抓準這點,不斷登錄網路服務,用一組帳號、密碼「撞」出資安破口。
採FIDO方式 註冊私鑰
這些新型態駭客攻擊,迫使金融產業認真看待無密碼的可行性,開始思考採用FIDO的方式,以生物辨識(臉部/指紋/靜脈)、SMS驗證碼簡訊、輸入PIN碼等方式,註冊一把數位鑰匙(私鑰),透過這把鑰匙暢行於網站或應用程式,解決密碼不安全的問題。
「簡而言之,無密碼就是透過生物辨識解鎖等取代複雜的密碼,主要是因為駭客無法取代你的生物特徵,即使是暴力式破解,也只能針對單一裝置。」黃閔綉分析,這也是為什麼蘋果(Apple)、谷歌(Google)、微軟(Microsoft)等科技巨擘紛紛加入FIDO聯盟,致力推動無密碼化發展。
據ResearchAndMarkets研究報告指出,2020年全球身分驗證市場價值76.6億美元(約新台幣2,298億元),2026年預計將達166.5億美元(約新台幣4,995億元),年複合成長率約13.29%,其中金融服務市場比重占最大宗。
永豐銀行資深副總經理蔡瑞庭表示,身分認證發展已進入百家爭鳴的戰國時代,各種驗證技術紛紛出籠,例如FIDO、行動身分識別服務(Mobile ID, MID)、ATM/臨櫃的掌靜脈認證、或是視訊認證等。
臺網手機報稅 頗受好評
業界人士透露,台灣金融業者之所以能在短時間進行多元身分認證的改造工程,背後有一群台灣科技業者默默支持,協助建構基礎工程,包括臺灣網路認證公司(以下簡稱臺網)、偉康科技、凌網科技等業者均功不可沒。
「身分識別往往涉及政府公權力領域,臺網大股東為台灣證交所、集保公司、財金資訊公司等政府特許的半官方機構,可被金融機構與民眾信任。」臺網總經理郭昭宏向本刊點出臺網特別之處,以及發展的利基。
靠著眾多半官方機構的支持,以數位簽章憑證起家的臺網,得以成為台灣最大的憑證發行商,並成立身分識別中心,以大約4年多的時間,串接各領域的身分識別夥伴,合作範疇涵蓋金融、政府、電商、電信等8種單位,合計約150家機構,因此讓臺網成為台灣業界公認的最可靠第三方單位,順勢成為台灣身分認證發展的重要推手;其中,最具代表性的案例就是今年的手機報稅。
「今年,透過手機進行綜所稅報稅的民眾高達42%,許多人在短短5分鐘便完成了稅務申報,頗受好評。」郭昭宏自豪地說道,過去插卡身分識別操作不便,去年開始,臺網和財稅資料中心合作,讓民眾用手機做身分識別完成報稅。
金融相關領域之外,疫情期間,臺網也與政府合作,協助「健保快易通」做身分識別。臺網協理連子清表示,健保快易通推出近7年,前3年僅有50萬戶登入,後來與臺網合作,半年左右倍增至100萬戶,而在疫情推波助瀾之下,今年初更一舉跳升至1,400萬戶,適時為疫情帶來更彈性服務。
連子清說,金融相關服務之外,醫療相關服務是臺網下一個業務開發重點,所以公司嘗試與各醫療院所接觸推廣臺網的想法。想像一下,今天民眾跑去醫院看診,倘若要跟公司請病假,有時就要再跑一趟醫院申請就醫證明,這為什麼不能在線上申請呢?
郭昭宏樂觀地向本刊透露,早在5年前金管會開始提出身分認證概念時,臺網就看到「身分識別中心」的機會,未來受惠於多種應用的需求加持,臺網業績勢必跟著扶搖直上,取得豐厚成果。
凌網系統建置 插旗金融
除了臺網,系統建置商偉康、凌網也在金融身分認證領域扮演關鍵角色,協助台灣金融體系建置無密碼系統服務。
長期在資訊整合服務與系統領域耕耘的凌網,成立20幾年來,陸續與一百多個政府機關建立業務合作關係,因為這個緣故,凌網得以成為台灣首家協助政府機構導入FIDO的業者。
凌網副總經理高承億表示,凌網早在2018年就與臺網合作為內政部導入「臺灣行動身分識別」(TWFido)系統,由臺網負責提供軟體憑證元件,凌網進行系統建置。之後金融業者開始導入國際標準,2年前,凌網順利拿到國泰世華銀行標案,協助國泰世華導入、建置認證,成功插旗金融業。
偉康延伸服務 開發APP
高承億指出,FIDO是由同名的非營利組織所訂定的一套身分認證機制國際標準,其實,身分認證銀行業者本來就有在做,但現在希望能在符合國際標準的情況下執行,所以就開始導入FIDO,希望在FIDO基礎下可做到跨銀行身分認證。
「對凌網而言,導入第一個專案最困難。我們只花了4、5個月就協助國泰世華導入FIDO,因運作順暢,國泰世華預計將這樣的機制進一步延伸至海外分行。」高承億信心滿滿地表示,凌網目前大多針對銀行客戶提供FIDO服務,接下來會針對政府客戶。主要是兩者認證情境稍有不同,銀行大多是手機,而政府則還有電腦等及內部外部使用者情境,需要多花一點功夫。
與凌網相同,偉康也是負責提供身分認證網路建置的系統廠商;同時,偉康更將服務延伸至幫助業者開發行動銀行APP。
「偉康3、4年前就已著手FIDO研發,除陸續取得4張FIDO國際證照,大型民營銀行、八大公股行庫,甚至有跨國銀行都是合作夥伴。」偉康策略長黃閔綉自豪地說道。
黃閔綉表示,在疫情的刺激下,無接觸服務已成趨勢,金融業紛紛加速數位轉型;然而,相對於其他產業,金融業在安全、法規上要求非常嚴謹,各項服務功能的標準也更高。幸好,偉康產品百分之百皆為自行研發,可因應客戶需求調整,展現較佳的彈性與時效性,因而獲得台灣前幾大金融業者的青睞。
軟體服務市場 大於硬體
「大型金融業者通常會是駭客主要鎖定的對象,因此採用FIDO標準的目的,就是將生物辨識的資料驗證回歸到個人裝置上儲存,依此概念延伸出FIDO認證。」黃閔綉進一步指出,為解決密碼複雜、並確保安全性,刺激各大金融業者相繼布局FIDO規範。
黃閔綉認為,台灣金融業者對於FIDO的需求明顯起來,主要是因金管會經過各種考量後,主導「金融行動身分識別聯盟」的成立,希望透過這個聯盟,提供民眾更「便利」且「安全」的金融服務。在官方主導下,業者也順勢把身分辨識列為優先處理的發展項目。
資策會數位轉型研究院組長李震華表示,許多國外的網路證券、加密貨幣平台,都要求需進行認識你的客戶(Know your customer, KYC)確認,也就是確認使用者是否為本人,通常這樣的系統大多委託第三方服務供應商協助。因此,無密碼身分認證市場長期來看會是個機會,且軟體跟服務市場將大於硬體本身。