SEMI
MCU
 

身份認證於企業用戶 安全與便利的拉鋸

與公部門相比,民間企業較少擔任核發信物的角色,因此對民間企業來說,多是信賴其他單位核發的信物,作為個體身分資格判讀的依據,在銀行開戶時必須出示身分證即是一例。在這個應用中,銀行之所以會信賴身分證,是因為身分證係由內政部核發,而內政部在台灣是被社會大眾、銀行信賴的單位。

所謂信物,是受信任的單位在協助個體完成登錄與身分核驗(Identity Proofing)之後,核發一個以軟體、硬體、或是其他狀態存在的憑證;信物是一組數據的集合,個體可以其作為聲稱之權利、身分的憑證。預計於明年10月換發的eID即是一張由內政部核發的信物,以硬體卡片狀態呈現。

因此對民間企業來說,如何建立出一套驗證身分的機制、找到合作的驗證單位更為重要;臺灣網路認證中心(後稱TWCA)所建立出的TWID即是以此為出發點的產品。TWID是TWCA在金管會於2016年發布「金融科技發展策略白皮書」後,在金管會主委李瑞倉、金融總會理事暨集保董事長林修銘、以及若干金融領域的代表的協助下所啟動的服務。

TWID係一套以軟體身分認證為基礎的平台,它多方地介接了銀行、電信業者等具備核發信物能力的民間企業,打造出一個以保險、證券、銀行服務為核心的生態圈。而自2016年發展兩年以來,TWCA業務部協理周芳冠表示,TWID正規劃將該平台的規模擴張,將軟體身分認證的服務擴展到其他產業如遊戲、電子商務、支付領域等。

越無法承受風險 導入越高級別的身分認證

那麼有什麼樣的產業服務在導入數位身分認證之後,可以做到降低成本、提高服務品質?或可從過去紙本、面對面身分認證所衍生的限制性與時間人力成本來考量。

以共享、租賃運具服務為例,一般在租用交通運具時,服務營運商會要求使用者出具身分證、駕照等信物,確認該人具備騎乘運具的能力或是資格。從營運商的角度,是為了減少無照駕駛造成的資產損毀,或是相應的保險問題。

而隨著網路發展,傳統的租賃業得以藉由網路快速地連結可使用的車輛與有需求的用戶,共享營運商一時如雨後春筍,在世界各地落地生根。那麼服務營運商要如何在網路上進行駕駛資格的審核呢?現行的共享營運商,多是在App的註冊環節中,要求用戶上傳證件影像及自拍,後台再以人力或是AI進行生物特徵的辨識,進而開放服務。

然而這個流程,並沒有向核發信物的單位進行驗證,以共享運具為例,並沒有向核發駕照的公路總局取得確認,亦無證據可以證明該申請者與上傳證件的關聯性。那麼這項共享運具的服務,真的可以信賴嗎?

對此TWCA產品總監連子清說明,在身分認證的應用上,必須對「若是認證失效,所產生的損失」進行評估。若是認證失效所導致的成本高昂,如高額財損、生命威脅,則導入手續相對繁複、流程較多的驗證機制;反之,若損失風險在可承擔範圍內,導入相對容易的認證方式,反而有助於該服務的推廣。

AI進行生物特徵辨識與人類透過肉眼辨識必然有其精準度的極限,然而針對共享運具的應用,其產品價值在於方便性,快速便捷的審核機制對營運商來說,比偶發的遺失車輛、事故更為重要。在數位身分應用的安全性與普及率之間的拉鋸中,必須將產品的服務特性與可承擔風險一併納入考量。

談及數位身分的應用,連子清形容其為一個漸進的過程,從過去銀行開戶時只需要一張身分證,到需要雙證件,再到櫃檯人員會在結合了聯合徵信的資料之後提供適切的銀行服務。搭載社會對資訊安全的追求,以及不同應用對風險的承擔程度,整體對身分認證的管理是趨向嚴格。


  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 身分認證