2023 FIDO Taipei Seminar勾勒最新趨勢 實現免密碼身分認證新世界
- 張丹鳳/台北
-
國際身分識別標準組織FIDO聯盟於2023年2月首度以台灣為主場,舉辦2023 FIDO全球會員大會,其中以2月6日台北國際研討會以「智慧國家與數位產業下的身分識別安全基石」為主題,現場超過海內外300位貴賓與會,迎來國境開放後的第一波國際會議人潮。
蒞臨FIDO Taipei Seminar的金融監督管理委員會金融科技發展與創新中心執行秘書胡則華致詞時指出,「2020年8月27日金管會在金融科技發展路徑圖中納入「研究發展金融行動身分識別標準化機制(金融FIDO),規劃透過導入國際FIDO標準,未來使用金融服務時,能免去使用實體卡片或帳號密碼驗證的困擾。」
國家科學及技術委員會科技辦公室副執行秘書沈弘俊表示,「隨著資安議題備受重視,FIDO已成為強化身分認證安全的重要技術,我們也希望與FIDO聯盟保持緊密合作關係,運用FIDO技術強化台灣整體數位環境的安全性。」
FIDO聯盟說明:「全球爆發多起資料外洩事件,預計未來5年全球線上支付面臨的詐欺所造成損失,將高達3430億美元,主要肇因於密碼薄弱或被竊取所致。」進入後疫情時代,個人透過網路進行購物、線上支付與社交活動,進而至存取企業與政府服務等各類服務,已成為多數民眾的新日常。
而近年來駭客大舉利用社交工程與網路釣魚等手法,竊取個資與營業秘密的機會,對企業永續、政府信任、民眾安心等面向造成前所未有的嚴峻挑戰。因此,零信任資安防護成為市場的主流,而身分識別則是落實零信任防護的首要關卡,各國政府機關與企業均積極了解FIDO聯盟的宗旨並加入這個涵蓋晶片、裝置、軟體、服務等數位產業以及政府單位的完整生態系,創造使用者更安全且便利的服務體驗。」
FIDO機制受肯定 實現無密碼最佳方案
數位發展部部長唐鳳說,「數位發展部作為台灣數位發展的moda(馬達),除了研擬研議如何因應快速變遷的數位科技,更將與時俱進,建構更為完備的數位信任基礎環境。此外,身為FIDO聯盟會員,數位部將依台灣與全球志同道合夥伴的需求,參與標準制定,即時導入政府機關、民間社群、以及個個產業,來實現 「共同在場、攜碼互通」的多元宇宙,加速促進跨域數位轉型、確保國家資通安全,來推動全民數位韌性的發展。」
FIDO聯盟執行長暨行銷長Andrew Shikiar總論上午的會議:「數位服務與個人資訊安全不該脫鉤,有鑑於資料外洩事件持續成長,若要遏止此類事情發生,勢必要進行根本性的改變。FIDO方案採用公開金鑰加密技術,將可實現以更簡單、更強大的身分驗證方式來開發相關標準。」此外,隨著全球物聯網裝置愈來愈多,應用範圍也日益廣泛,在缺乏物聯網安全標準的狀況下,設備、網路服務很容易受到各種攻擊,所以2021年4月公布的FDO方案,預計於2023年啟動推廣工作,為保護物聯網裝置與服務安全等盡一份心力。
FIDO於全球政策面的影響與衝擊
「由於傳統帳號與密碼可被複製與備份,自然很容易被駭客竊取,引爆各種資安事件。」SK Telecom首席軟體開發工程師Ki-Eun Shin解釋:「FIDO技術提供無密碼身分驗證方法,有助改善各種網路應用服務的安全性。而近來的Passkey應用,讓用戶只需透過私鑰綁定到裝置或平台的同步機制,即可隨時隨地進行存取與瀏覽,實現無密碼的時代。」
FIDO聯盟認驗證計畫主管Paul Heim指出,「隨著各種產業與政府組織等陸續導入FIDO,也代表市場上對FIDO認證設備需求正快速攀升中。設備商或元件製造商若能儘快取得FIDO認證,建立與對手之間的差異性並擴大差距,可望提升業者的競爭力,搶攻難得一見的市場商機。FIDO聯盟有一套完善的認證制度與專家,可協助企業逐步通過認證。」
FIDO聯盟全球公共政策顧問Jeremy Grant坦言,「身分識別對政府推動各服務非常重要,有助於保護政府的數位資產、為民眾提供更高價值的服務、保護關鍵資產與基礎設施。而FIDO身分驗證機制則是政府更新、更好的選項,然前提是部分政策必須因應技術特性進行調整與修訂。」
FIDO政府應用工作組共同主席暨IDEMIA北美區副總經理Teresa Wu表示,「為加速全球企業部署FIDO的速度,FIDO聯盟將致力建構現代化的身分驗證生態體系。GDWG (FIDO Government Deployment Working Group,政府應用工作組)將扮演FIDO聯盟內部的主題專家與內部顧問,協助政府、企業等加快部署FIDO解決方案的速度。」
工研院資通所副所長黃維中表示,「隨著數位科技快速演進以及資安意識備受重視,包含台灣、南韓、日本、印度、泰國等亞洲國家皆在政府、企業、以及消費性應用等領域導入FIDO標準,強化服務的安全性與使用體驗。不過,若從更廣泛的角度來看,也能推廣到製造業、供應鏈、醫療保健等領域,讓更多民眾與產業能享受到FIDO標準的優點。」
FIDO技術深受肯定 吸引各國政府、企業採用
面對駭客攻擊手法多變,目前有英國、加拿大、法國、台灣、南韓、澳洲等政府,已採用FIDO技術發展多項政府應用服務,讓民眾享有安全無虞的服務。如內政部推動自然人憑證多年,儘管具備安全性高的優點,但最大缺點也在於需搭配讀卡機使用,讓不少民眾感到不方便。
為此,內政部以FIDO技術為核心,推出「行動自然人憑證App」,其安全性符合國際標準,民眾只須在行動裝置下載App並完成註冊後,未來即可以指紋或臉部等生物辨識方式,進行身分識別或網路簽名,申辦報稅等政府服務,免插卡、免帳號密碼,使用相當方便。
中華電信研究院經理孫漢傑指出,「行動自然人憑證App除了將自然人憑證的簽章行動化,也整合原有台灣行動身分識別App的身分識別功能,免除過往實體IC卡、讀卡機及桌上型電腦的限制。此外,行動自然人憑證App也已通過經濟部工業局安全標章第3級及國際標準FIDO2,符合數位身分第3級(LoA3)保證等級,兼顧使用方便性、安全性,以及新時代行動身分識別及行動簽章機制。」
「NTT DOCOMO一直以FIDO身分驗證技術來改變世界,而非使用傳統帳號密碼機制。所以我們2015年5月27日啟動第一階段計畫,導入FIDO UAF技術,讓會員具有更簡單安全的使用機制。」NTT DOCOMO產品設計部門經理Masao Kubo解釋:「第二階段則是加入虹膜、指紋辨識技術,為會員提供多元的用戶體驗。第三階段則是2020年讓NTT DOCOMO的d Account會員享有無密碼驗證服務。」
歐生全科技副總經理黃啟峰表示,「根據國際知名研究報告指出,2025年將會有超過25%多因子驗證(MFA)會採用FIDO驗證機制,代表此機制的穩定性與可靠度備受肯定。而FIDO技術不光可用在網路應用服務中,我們也可協助企業導入在公司內部環境,藉此避免因密碼被駭客竊取,導致重要資料外洩的憾事。」
FIDO於物聯網裝置的重要性與FDO標準
FIDO聯盟標準發展計畫主管David Turner:「現今全球物聯網裝置已達到數百億個以上,但多半欠缺合適的資安防護機制,若採用傳統方式強化物聯網設備的防護能力,不但要花上數年以上,且資安防護成效也備受質疑。所以FIDO聯盟推出FDO標準,並啟動FDO認證計畫,進行功能測試及安全測試等,期盼藉此強化物聯網設備的安全性。」
在2023 FIDO台北國際研討會議程「物聯網資訊安全再進化」、「免密碼身分認證應用的全球觀點」等圓桌論壇中,專家也分別指出FIDO技術將是完善物聯網安全的重要拼圖,亦是在後疫情時代實現免密碼身分驗證應用的最佳方案。
FIDO聯盟台灣分會會長暨神盾公司副總經理張心玲說,「台灣與其他先進國家相同,非常注重身分識別的資安問題,除了企業會員,全球也已有許多政府部門加入FIDO聯盟。如數位發展部在掛牌同年便著手申請加入FIDO聯盟,並試圖運用FIDO技術打造高安全性的應用環境;而多年前內政部開發的TW FidO台灣行動身分識別,已成功介接財政部的各式查繳稅系統。」加上台灣半導體與資通訊產業的全球關鍵地位,2021年即由神盾公司引領成立FIDO聯盟台灣分會,讓國內社群更緊密的協助與互動。
除了專題演講之外,當天也有多家FIDO會員夥伴展出各式以FIDO技術為核心的方案,如工研院的零信任策略方案、台灣網路認證的FIDO行動金鑰解決方案、來毅數位科技的FIDO身分認證MFA方案、偉康科技的FIDO無密碼及零信任最佳解決方案、美商動信安全的FIDO安全認證平台、匯智安全的FIDO全系列產品、飛碼科技的FIDO生物辨識方案,都展示出相關應用落地的方案,引起全場來賓的關注與親身體驗。
