相信不少人都看過2020年新冠肺炎(COVID-19)期間,網路威脅和安全事件數量大幅增加的新聞報導,但更令人感到遺憾的是,美國聯邦貿易委員會的最新報告指出,去年美國的身分竊取事件飆升至近140萬起,比2019年增加了113%。
遭竊的身分資訊除了被用於申請或取得受害者的政府福利與救濟金之外,也被用來獲取其駕照、護照和其他政府頒發的文件。
為解決多年來此類層出不窮的身分資料竊取及利用受害者身分入侵系統的事件,除了密碼、無密碼的生物識別驗證技術之外,FIDO(Fast Identity Online) 聯盟發表的UAF、U2F及FIDO2協定,讓客戶的資料存在於他們自己的設備中並進行驗證,免除了任何形式的伺服器端資料洩露風險,安全性更高且運算快速、使用者容易操作,因而獲得許多大廠的支持與採用。
因應市場需求,許多領導廠商已紛紛推出通過FIDO認證的解決方案,這些方案對於以數位為導向的企業非常有用。例如受行動化與網際網路科技影響至深的金融保險業,藉由FIDO解決方案不但可以讓其顧客使用行動裝置方便快捷地獲取銀行服務,也能免除記住冗長密碼的麻煩,無須等待單次有效密碼(OTP)而節省作業時間,大幅降低駭客冒名入侵並詐取金錢的風險。電信營運商則可以將其他線上服務供應商,整合到其採用FIDO方案的平台上,如電子商務等,一方面讓消費者利用FIDO驗證購買商品和服務,享受簡便的網上購物,另一方面還能防止駭客攻擊造成的資料和收入損失。
此外,我們還發現到一個未來將產生的新商機——組織(如前述金融或電信業的企業)在部署FIDO解決方案為其客戶提供驗證服務後,還可以透過銷售驗證服務來增加收入。這種驗證服務對於預算有限的小型組織和/或不願意管理 FIDO伺服器的企業或組織非常有用,因為只須向銀行、電信營運商、或任何其他已經部署主從架構FIDO方案的組織(如NEC)租賃,就可以享有完善的驗證服務。而對於金融或電信業者來說,驗證服務一旦建立,只須進行整合,就可以銷售給其他許多企業或組織用戶,充份發揮已部署基礎架構的投資效益。
然而,不論導入的解決方案為何,基於FDIO屬於多模式驗證的架構,在選擇時,必須滿足幾個條件:具備高度精確的生物識別驗證技術,內建可以防止惡意軟體和駭客攻擊的安全模組,在各種平台如Android和iOS上都能輕鬆操作,且能從容擴充以應付突然爆增的交易工作負載。
隨著企業的數位化,終端使用者的要求愈來愈高。FIDO及其相關解決方案正是提供簡便、安全、快速的驗證體驗,確保新世代數位企業維持競爭優勢的關鍵要素。
<本文作者:何彥明現為NEC台灣技術長>