Adobe
断链之后
 

身份认证于企业用户 安全与便利的拉锯

与公部门相比,民间企业较少担任核发信物的角色,因此对民间企业来说,多是信赖其它单位核发的信物,作为个体身分资格判读的依据,在银行开户时必须出示身分证即是一例。在这个应用中,银行之所以会信赖身分证,是因为身分证系由内政部核发,而内政部在台湾是被社会大众、银行信赖的单位。

所谓信物,是受信任的单位在协助个体完成登录与身分核验(Identity Proofing)之后,核发一个以软件、硬件、或是其它状态存在的凭证;信物是一组数据的集合,个体可以其作为声称之权利、身分的凭证。预计于明年10月换发的eID即是一张由内政部核发的信物,以硬件卡片状态呈现。

因此对民间企业来说,如何建立出一套验证身分的机制、找到合作的验证单位更为重要;台湾网络认证中心(后称TWCA)所建立出的TWID即是以此为出发点的产品。TWID是TWCA在金管会于2016年发布「金融科技发展策略白皮书」后,在金管会主委李瑞仓、金融总会理事暨集保董事长林修铭、以及若干金融领域的代表的协助下所启动的服务。

TWID系一套以软件身分认证为基础的平台,它多方地介接了银行、电信业者等具备核发信物能力的民间企业,打造出一个以保险、证券、银行服务为核心的生态圈。而自2016年发展两年以来,TWCA业务部协理周芳冠表示,TWID正规划将该平台的规模扩张,将软件身分认证的服务扩展到其它产业如游戏、电子商务、支付领域等。

越无法承受风险 导入越高级别的身分认证

那么有什么样的产业服务在导入数码身分认证之后,可以做到降低成本、提高服务质量?或可从过去纸本、面对面身分认证所衍生的限制性与时间人力成本来考量。

以共享、租赁运具服务为例,一般在租用交通运具时,服务营运商会要求使用者出具身分证、驾照等信物,确认该人具备骑乘运具的能力或是资格。从营运商的角度,是为了减少无照驾驶造成的资产损毁,或是相应的保险问题。

而随著网络发展,传统的租赁业得以藉由网络快速地连结可使用的车辆与有需求的用户,共享营运商一时如雨后春笋,在世界各地落地生根。那么服务营运商要如何在网络上进行驾驶资格的审核呢?现行的共享营运商,多是在App的注册环节中,要求用户上传证件影像及自拍,后台再以人力或是AI进行生物特征的辨识,进而开放服务。

然而这个流程,并没有向核发信物的单位进行验证,以共享运具为例,并没有向核发驾照的公路总局取得确认,亦无证据可以证明该申请者与上传证件的关联性。那么这项共享运具的服务,真的可以信赖吗?

对此TWCA产品总监连子清说明,在身分认证的应用上,必须对「若是认证失效,所产生的损失」进行评估。若是认证失效所导致的成本高昂,如高额财损、生命威胁,则导入手续相对繁复、流程较多的验证机制;反之,若损失风险在可承担范围内,导入相对容易的认证方式,反而有助于该服务的推广。

AI进行生物特征辨识与人类透过肉眼辨识必然有其精准度的极限,然而针对共享运具的应用,其产品价值在于方便性,快速便捷的审核机制对营运商来说,比偶发的遗失车辆、事故更为重要。在数码身分应用的安全性与普及率之间的拉锯中,必须将产品的服务特性与可承担风险一并纳入考量。

谈及数码身分的应用,连子清形容其为一个渐进的过程,从过去银行开户时只需要一张身分证,到需要双证件,再到柜台人员会在结合了联合征信的资料之后提供适切的银行服务。搭载社会对信息安全的追求,以及不同应用对风险的承担程度,整体对身分认证的管理是趋向严格。

  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: 身分认证