【金融业FIDO应用实例】行动银行安全性提升，更多台湾金融业建置FIDO，企金行动App也将跟进最新消息

随着网络行动银行普及，线上的安全升级也成必然趋势，只是，传统登入时的密码问题不断，简讯OTP的方式也可能不再安全，因此，FIDO线上身份识别的发展备受关注。

近年来，金融业也同样关注此一趋势，例如，在2015年，美国银行（Bank of America）就是全球首家导入FIDO验证的金融业者，让用户透过iOS与Android手机使用银行App时，能有安全又简便的验证方式。

新的线上身份认证技术发展，台湾金融业也在陆续投入，在2017年，随着手机上的生物识别渐趋成熟，用户使用指纹辨识登入App服务，台湾金融业已有一些整合实例，提供用户些许方便性，而随着FIDO线上身份识别的发展，台湾也有金融业开始导入FIDO。

例如，中国信托银行在2018年率先跟进这股风潮，他们的行动银行正式导入FIDO应用；到了今年，2020年5月，国泰世华也宣布，为提升自家行动银行APP安全性，同样导入FIDO标准。

截至目前为止，我们也打听到至少还有5家银行业者，正在导入FIDO，同时，金融监督管理委员会（金管会）也在今年8月，公布金融科技发展路径，当中提到将研拟规划导入国际FIDO标准，推动金融业共同筹组金融行动身份识别联盟F FIDO，这样的趋势，已经侧面佐证了台湾金融业正积极拥抱FIDO，加速线上身份识别的新变革。

中国信托是国内先行者，每天有75万用户以FIDO登入

关于台湾金融业在FIDO应用的现况，是否已有很多用户透过FIDO来进行线上身份识别？

首先，我们找的是中国信托银行，该公司作业暨资讯处资讯二部部长陈晞涵表示，他们是在2017年开始规划导入，到了2018年4月他们的行动银行“Home Bank”App大改版（旧称中信行动达人）之际，率先提供FIDO验证的支援，不只提供人脸辨识、指纹辨识的登入，转账类交易确认也能透过以此认证。

对于用户应用FIDO机制登入的现况，陈晞涵表示，目前他们的“Home Bank”App的用户已达360万人，且每日登入就有100万人，当中有75%是使用FIDO机制登入，因此他们认为使用者接收度已经很高，目前他们导入的是FIDO UAF标准，也就是在中信端建置UAF服务器，服务也相当稳定。显然，国内已有大量用户运用到新的FIDO线上身份识别标准。

为何当时他们看重FIDO？陈晞涵表示，在2017与2018年时，当时大众对生物认证的接受度变高，需求也较多，所以他们希望透过生物辨识机制增进使用者体验，提供简单方便、可以不用密码，且安全性高的登入方式。

不过，他表示，当时行动银行App要做生物辨识认证，其实不一定要导入FIDO，之所以这么做，他们有3个主要的考量，首先是开放标准的支持，他认为这点相当重要，可简化各个平台相容性的建置，而且FIDO验证器可随着中信的行动银行App一起安装，对使用者体验也不影响；其次是FIDO提供多元的认证规格，已经包含现在主流的人脸辨识、指纹辨识等；第三是在技术架构端，FIDO的作法，可以为他们带来快速的开发，各式装置的认证端，都可以透过同样一套UAF通用认证框架导入。

在他们过去经验中，没有导入FIDO，对IT单位开发很麻烦，因为他们要分别在每个设备端测试，例如每种手机型号需要各别进行技术的介接与测试，因此仅能先针对主流手机品牌提供支援，不容易大规模推广。但有了FIDO，可因应在不同的设备、认证机制上需重复开发的过程。

当然，对于早年导入FIDO UAF的情况，陈晞涵也给出了一些处理经验。例如，他们为了让转账交易应用更安全，在导入时增加了装置绑定的机制。

此外，对于私钥保护的机制，他们除了参考FIDO的规范，还考量到动态加密金钥、白箱加密保护金钥等。另外，他们还与资安情资业者合作，当发现有设备的生物辨识已被破解，将透过黑名单的方式来管控，让使用该厂牌型号的用户手机无法应用他们的FIDO机制。

不过，对于这方面，我们后续有注意到，FIDO架构对私钥保护机制的规划上，针对FIDO装置（Authenticator）有定义4个认证等级，每个等级都有其私钥保护的要求。另外，先前FIDO联盟已提出生物特征元件认证（Biometric Component Certification），也就是说，FIDO有生物辨识率标准跟认证机制，若是自行开发的设备或软件模组，是可以送FIDO进行生物特征辨识验证。此外，操作系统内建的生物验证装置，也会有其生物验证辨识率的标准。

今年上半国泰世华导入，并在网银App上宣导此种作法的好处

在今年5月，拥有435万数位用户数的国泰世华，宣布导入FIDO国际标准，应用于旗下“国泰世华行动银行”与“KOKO”App，用户可在App内设定升级，强化用户在登入账户时的安全性。而他们App之前提供的人脸辨识注册，则不再用于登入功能，惟仍可使用于App非约定转账交易认证，以及重设网银密码。

相当不错的是，他们让FIDO一词更直接出现在大众消费者眼中，在它们提供给故各的App界面上，会简单说明FIDO标准与生物辨识，以及所带来方便与安全性。例如，在App上的介绍，指出他们的快速登入机制，采用FIDO所建立的国际级标准，以非对称金钥技术为基础的技术，提供更坚单与更具安全性的验证方式。这样的作法，我们认为，也将带动消费者对FIDO的认识。

关于导入FIDO后的现况，国泰金控数位数据暨科技发展中心协理陈冠学表示，至今已有超过120万客户申请使用，目前他们导入的是FIDO UAF标准，也正评估规划FIDO2的相关应用，至于双因素认证的U2F的标准，由于他们已建立交易认证码作为双因素认证机制，因此现在暂无应用场景。

而他们导入FIDO的原因，同样是考量到FIDO的优点，能提供客户便利的操作模式，并兼顾安全控管，包括像是国际标准的验证机制，身份验证是在手机端进行，搭配非对称公钥私钥架构，与线上身份识别结合，而且，FIDO涵盖生物辨识技术及硬件安全模组的搭配，可强化安全与便利性。陈冠学说，FIDO验证较为严谨，当用户移除App或手机重置时，如果仅使用FaceID验证客户，其实仍可登入，而在FIDO架构之下，将须重新注册。

在导入FIDO后，对用户而言，会不会很难适应？事实上，他们App操作方式没太大不同，主要是首次使用FIDO验证时，客户需进行启用注册，若是用户新换手机，则将需要重新注册。

至于导入FIDO的困难与挑战上，陈冠学指出，导入身份验证新系统，将依规范经法遵、风管、资安、资讯及专案团队一起规划，以确认各项设计符合法规与资讯安全上的要求，同时，在用户装置端的要求上，他们的规划方向是以不改变用户原有操作行为，又可大幅提升资讯安全性的方式做设计。

今年有更多银行业者投入FIDO，企业金融App也将导入

国内导入FIDO不只上述如此！今年开始，我们发现台湾金融领域已经动起来，有更多的银行业已经在导入阶段，同时，我们也注意到应用新趋势，不只消费金融的个人行动银行App，企业金融的行动银行App也将导入FIDO。

从金融业应用解决方案厂商这边，我们打听到，国内至少还有4家以上的银行要导入，虽然有哪些业者我们暂时还不得而知，但今年底就可能有新的业者宣布FIDO应用上线，因此，这样的应用趋势未来仍值得继续关注。

另一方面，中国信托银行陈晞涵透露，他们的下一代法金（企业）行动银行也正准备导入FIDO，而中小企业网银也会导入U2F认证，只是用户端的认证界面与装置还未定案，仍在评估。

关于FIDO在企业行动银行App的应用，过去较少听闻，除了中国信托银行正开始这么做，我们从厂商端也听到相关消息，虽然FIDO导入仍以个金行动银行为主，但企业行动银行也有进行中的案例，而且，不论是Web界面网络银行，或是企业网络银行App，银行业都有考虑要应用FIDO。

无论如何，2021年我们应该可以看到更多金融业应用FIDO的实例。

台湾早有行动银行导入FIDO，中国信托是首例

中国信托银行2018年于“Home Bank”App，导入了FIDO UAF标准，虽然App界面并无提到FIDO，但用户启用指纹、脸部登入，以及绑定装置后，背后就是运用FIDO，他们并透露自家法金行动银行也正导入。

国泰世华今年宣布旗下两款App登入导入FIDO

国泰银行在今年5月，开始将FIDO整合至网银App，强化旗下“国泰世华行动银行”与“KOKO”App的登入安全，提升用户账户安全。特别的是，在他们的App界面上，明白指出新的登入是采用FIDO标准，并宣导此种作法的好处。

台湾金融机构通用FIDO有谱

今年8月底，国内金管会公布金融科技发展路径，提出金融科技共创平台，而在未来三年的60项新措施中，当中就有导入FIDO标准的规划，将推动金融机构组成金融行动身份识别联盟F FIDO，建构国内数位金融服务可通用的身份识别机制，而这项计划，现在已有了初步的进展，金管会将在11月中下旬召开记者会正式宣布，预计2021年8月完成筹组。（11月中旬金管会表示，金融行动身份识别联盟暂时以F FIDO称呼，之后将会另有正式的名称）

金管会表示，F FIDO将由金融科技共创平台的数据治理组负责，由联征中心担任召集人，将邀集相关周边单位、公会与台湾网络认证等参与，负责推动资料共享及行动身份识别联盟等相关工作。

较特别的是，他们考量到修改相关法规再全面推动，可能较为旷日费时。因此，现行的规划是采筹组联盟方式，先订定业界通用标准，由联盟的成员向各业务局申请业务试办，之后并将完成法规修订。

至于F FIDO的未来应用情境，根据金管会的说明，将应用于中低风险的金融服务，例如开设第二、三类数位存款账户。

目前，国内金融机构数位存款账户已可透过自然人凭证、信用卡、存款账户等非签名的方式，进行身份识别。然而，上述身份认证方式仍多需先经实体身份认证，或利用实体自然人凭证辅以视讯资料等。

因此，在未来通用的行动身份识别下，绑定行动身份识别服务的手机，可用自然人凭证或金融卡搭ATM来启动绑定，并做到跨银行、证券期货、保险、周边单位等做身份识别。同时，也希望借由这样的通用框架，可以提供签署功能，用于电子下单以凭证签署，做到交易不可否认性，或是在资料共享时，做到使用者授权的确认。

厂商观点：金融业为何看重FIDO?

在2018年，我们看到国内已有多家软硬件厂商取得FIDO联盟的相关产品认证，包括神盾、欧生全、中华电信与美商动信等，关于金融业为何要应用FIDO，除了从银行业者的角度来看，也可从提供的服务业者了解，而去年有一家专注金融业相关应用的厂商，跟进FIDO联盟的相关产品认证，该公司是成立于1998年的伟康科技。

对于金融业导入FIDO，我们也请他们说明这些年所观察到的现况。过去在2017年，有不少银行业者在行动银行App提供生物识别登入，这与现在的FIDO有何差异？对此，该公司技术长倪国凯表示，过去的机制是各家自己做，没有统一规范，而现在FIDO是由国际FIDO联盟规定的统一规范制定，因此在各方面相对保障。

他举例，当时做法是以间接认证为主，由App呼叫操作系统验证后，即将该认证服务定义的资料回传，这里的实作方式有许多差异，包括token、私钥签章、手机硬件资讯等，做法与FIDO规范完全不同。

而他们过去也有这方面的经验，举例来说，在帮助银行客户打造生物辨识快速登入时，早期他们采取的是类FIDO的作法，也就是部分符合FIDO规范，后续，在客户建议与研发成本考量下，他们因此决定，直接研发符合国际FIDO联盟认证的FIDO应用

对于未来国内金融业在FIDO的发展，他们指出，在没有FIDO之前，像是银行转账的验证，多是采简讯OTP，最近之所以会有许多业者询问FIDO，可能是因为传闻未来将限制不能再用简讯OTP有关，因此，银行现在也在寻找替代方案。

另外，对于用户导入FIDO可能面对的挑战，伟康也自身经验来说明。例如，例如，客户既有行动银行系统非他们撰写，在专案过程中又必须将FIDO整合，这种情化下，可能容易遇到程式品质参差不齐的问题，他们就必须多加注意。

此外，他们遇到有客户的情形是，采用的解决方案只提供了FIDO服务器认证，但FIDO验证器与用户端，就要企业自己依照FIDO规格去开发，或是再找另一家厂商配合的状况。因此，考量解决方案厂商在不同FIDO标准的FIDO服务器认证，以及FIDO用户端与验证器的验证，是他们认为可以考量的要点。

相关报导

无密码身份保护应用大爆发