觀點

[專訪] 兼顧安全與便利的Keypasco網路身分認證機制

2017 / 06 / 08
編輯部
[專訪] 兼顧安全與便利的Keypasco網路身分認證機制

Apple Pay在台正式上線後,行動支付再度成為媒體報導的焦點,其實不只電子支付,在金融科技(Fintech)的應用上,如何對使用者進行身分認證一直是重點課題之一,也是所有交易信任的基礎。

來毅數位科技董事長林政毅提到,身分驗證主要會從安全、使用者便利與成本三個層面來談。以最常見的密碼設定來說,使用雖然便利,成本也低,但安全性堪慮。尤其現在數位生活中許多地方都需以帳號密碼來登入使用服務,此時多組帳密的管理就是個問題。如果搭配硬體IC卡,甚或是使用一次性密碼的token來進行雙因素認證的話,雖然提升了安全性,但也相對增加了成本,以往這種硬體式的key每人/每年的使用成本約達1,000元。

兼顧成本、便利與安全的網路身分驗證
但隨著IT技術的不斷演進,來毅數位科技的Keypasco網路身分驗證能透過設備綁定、地理位置設定、風險管理引擎等安全機制,以更便宜、便利,且兼顧安全的方式進行身分驗證,來因應現在行動支付、雲端服務等不同的身分認證需求。以目前最常見的電子支付為例,會以手機做為認證使用者身分的工具,Keypasco軟體會提取出獨一無二的設備指紋,資料包含手機軟、硬體、使用者行為及啟用時間的資訊,並在每次交易要求驗證時動態比對這些資料,來做為身分認證的依據。

                                                                 圖:Keypasco身分認證流程示意

如圖所示,用戶先到Keypasco雲端平台上將設備指紋與帳戶綁定,當用戶進行行動支付時,銀行就可以向Keypasco平台確認此設備是否為帳戶綁定之設備,驗證無誤後才完成交易。此外,透過風險管理引擎的機制,當交易時的位置與時間等歷史紀錄出現異常時,可對銀行發出警示訊息。一旦手機遺失或遭竊,認證平台也可以同時綁定多項設備,用戶可到平台上去停止原手機的認證,而啟用其他設備做為驗證工具。

設備指紋安全機制
來毅數位科技技術長張嘉顯進一步說明,Keypasco的設備指紋是參考多項資訊所產生,所以相同廠牌型號的手機也不會有相同的特徵值。即使手機進行系統更新也不會有所改變,除非進行維修有更換部分重要硬體組件時,才可能改變特徵值而需重新登錄手機。此外,為了確保指紋安全,只有進行手機認證時,才會經由軟體運算產生動態比對項目,以避免遭到破解。成本上,林政毅表示,在個人的消費金融應用可以將認證成本降到每人/每年百元以下。如果是企業金融加上PKI的機制也能在三百元左右,相較以往動輒上千的費用已大幅減少。
至於遊戲業者,則是確保玩家帳號與虛擬寶物不被盜用。這部分可能由玩家來負擔成本,且因為這些寶物現在都有平台在進行實際的交易,所以玩家會視其寶物的價值決定額外使用安全機制的費用,從幾十元到上千元都有可能,以保護其遊戲累積的成果。

針對電子商務的Generic
在電子商務上,因為這些網站通常僅需提供手機號碼或e-mail即可完成會員註冊,申請簡便的同時也提高了帳號被盜的風險。因此來毅數位科技針對電商業者也推出了一款名為Generic的產品,一樣透過綁定設備的方式,讓電商能確認是否真的為會員本人進行消費購物。

與Keypasco不同的地方在Generic為了不影響會員原有的註冊程序,所以Generic會自動的綁定客戶註冊時所使用的設備,無需使用者介入。如果發現是帳號遭盜而使用非綁定設備登入時,則會將該設備列為黑名單禁止登入。但因為少了數位簽章的功能,所以基本上只用來進行設備驗證,而無法提供用戶進行像是使用者雙向互動確認交易內容的複核功能,讓Generic能提供比Keypasco更低的成本費用,與更簡便的API進行介接,以更符合電子商務的需求。