丹麥人有一套特別的電子身份認證方法

Posted on Updated on

NemID

最近香港發生了市民身份證副本被盜用開立支付寶等電子錢包的增值服務,令事主被轉走數以萬計存款的罪案,事件關鍵在於銀行及電子錢包未有做好當事人的身份認證。這件事令我想起丹麥一套特別的身份認證系統——NemID。雖然這套系統未必完全適用於香港的情況上,但也可以分享一下開開大家眼界。

求職者比人轉走10萬存款有幾關FPS事?

NemID(直譯成英文即EasyID)是丹麥一個統一的電子帳戶認證系統,任何年滿15歲的丹麥居民都可以用其CPR(丹麥的身份證號碼)註冊,然後就可以用一個帳戶登入諸如網上銀行、保健系統、公共電郵系統、學校內聯網等需要實名的網絡服務。

NemID use case
NemID開立及使用流程(取自營辦商Nets DanID的技術簡介文件

和普通帳戶一樣,登入NemID同樣需要輸入一個個人密碼,ID則不是CPR而是由NemID提供的9個字號碼。不過它最特別的地方在於你輸入正確密碼後它會要求你輸入另一組6個數字的一次性密碼。這個密碼其實早已列印在一張膠卡片上並寄到你登記在政府資料上的住址,用戶只要拿出這張密碼卡輸入指定編號的密碼就可通過第二步驗證登入。

NemID code card
每張NemID code card內含150個連同隨機編號的一次性密碼。當密碼將近用完時會有新卡自動郵寄到府上。
NemID Data Flow
NemID基本認證流程示意圖(修改自營辦商Nets DanID的技術簡介文件
NemID client
NemID登入介面,在輸入NemID及密碼後系統將要求用戶輸人密碼卡上某個指定一次性密碼。(取自相關新聞

心水清的你可能會發現這個驗證方式其實和現在流行的Two Factor Authentication(2FA)十分相似。無錯它們的確如出一徹,只是NemID是出身於智能手機和2FA還未十分普及的2010年,便以非電子而且實名的方式進行2FA,以當時來說可謂相當前衛。

雖然NemID的運作方式相當人肉,但這和現時單靠服務營辦商自行設立手機2FA相比都有不少好處:

  • 技術門檻低,多數人都能輕鬆學會和願意使用
  • 一次性密碼屬離線資料,不依賴手機網絡,亦減少被遙距截取的機會
  • NemID密碼卡寄送府上,騙徒自然無法用太空電話號碼這些兒戲方法冒認身份開戶
  • 各服務使用相同的NemID帳戶,騙徒無法冒充你的身份開立你未登記的服務

缺點就可想而知:

  • 每次登入都要拿出密碼卡,費時失事
  • 密碼卡比手機更易遺失
  • 帳戶集中管理,萬一出事影響深遠(事實上2013年曾發生過NemID伺服器被DDoS事件,導致丹麥公共及銀行服務大癱瘓)

針對密碼卡使用不便的問題,NemID今年都推出了手機app,用戶只要用原有的密碼卡為手機進行認證,就可以改用手機進行第二步驗證,情況類似匯豐等銀行的手機版保安編碼器。這時密碼卡就變成緊急時或轉換認證裝置時方需要使用的物件。這個app相信除了能方便用家外,也可以吸引更多服務功能以NemID進行認證(例如電子錢包營運商有更大誘因強制用戶每次打開錢包時都要以NemID登入),強化整體保安。

NemID code app介紹

除了登入認證,NemID甚至可以當作電子證書使用!例如當你要與銀行進行電郵溝通時,你可以登入以NemID認證的電郵服務(例如e-Boks.dk),以你的NemID加簽你撰寫的電郵,讓銀行肯定寄件者為你本人。同時,銀行寄信給你時亦可以用你的NemID加密電郵,確保只有你才能覽閱電郵內容。

香港郵政其實早於2000年都推出過電子證書服務,但因為需要收費,使用不便及缺乏支援的服務等原因,至今都頹靡不振。

如果香港都有一套類似的認證系統,無論開立什麼服務,認證程序都必然會經過當事人本人,騙徒就無從搶先一步代你開戶(除非你那麼不幸個人密碼和密碼卡同時被盜又沒有報失),也沒有應該由哪一方負責做身份認證的問題,今次轉帳騙案就無從發生。市民還可以享受一個帳戶就能登記各式服務的便捷呢!

不過,一個統一的登入系統起碼需要一個技術出色且能妥善保管所有市民資料的機構以及一個可以信賴、具組織能力和前瞻性的政府,促成各大機構的配合、市民放心使用。金管局能做到FPS已經算幾出色,要做到相同的認證系統現實上還是難關重重。

參考資料:


本文已同步發佈到Medium,歡迎進去點讚支持!

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s