數位身分之識別與驗證

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

7

來源：World Bank Group, GSMA & SIA, p. 25

第二節 數位身分之識別與驗證

身分驗證技術是為了在網路世界中確認操作者的身分，網路世界中的一切資 訊，包括使用者的身分資訊，都是用一組特定的數據來表示，電腦只能識別使用 者的數位身分，如何保證以數位身分進行操作的操作者就是這個數位身分的合法 擁有者，亦即確保操作者的物理身分與數位身分相對應，身分驗證技術就是為了 解決這個問題¹¹。

在 本 節 開 始 之 初 ， 必 須 先 區 分 「 身 分 識 別 （ identification ）」 和 「 驗 證

（authentication）」之差異，如此在接下來的章節中才不會混淆兩者之意義¹²。身

11 洪杰文、歸偉夏，新媒體技術，頁 378（2016 年）。

12 根據聯合國國際貿易法委員會（UNCITRAL）有關身分管理之最新條文草案，「身分識別

（identification）」這個用語已被「身分核實（identity proofing）」取代，而「驗證（authentication）」

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

8

分識別是為了判斷使用者是誰，識別的內容必須獨一無二，如此才能正確地分辨 出每個人¹³，通常係通過使用可靠來源（例：受信任的記錄或機構）提供的屬性，

來確立一個獨特的人（個人或實體），並確認上該屬性皆與此一特定人相符的過 程，亦即身分核實（identity proofing）¹⁴。

來源: CAMS – Audit Advanced Certification –Digital Identification Methods and Testing for AML Programs¹⁵

驗證則是在嘗試登入帳戶或設備時驗證自己的行為，例如通過輸入密碼登入 自己的電子信箱帳戶就是一種數位身分驗證。此外，利用生物辨識（像是指紋或 虹膜掃描）亦被視為數位身分驗證。綜上所述，數位身分識別是在回答「你是誰？」，

則被「電子身分識別（electronic identification）」所取代，綜上，身分管理過程現在由兩個階段（或 步驟） 組成，即「身分核實」和「電子身分識別」；UNCITRAL Working Group,

https://undocs.org/en/A/CN.9/WG.IV/WP.162.

13 黃鈺書，身分辨識於保險科技之應用相關法律問題研究，私立東吳大學法律學系碩士論文，

2018，頁 54。

14 CAMS, – Audit Advanced Certification –Digital Identification Methods and Testing for AML Programs, at 8.

15 Id. at 10.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

9

而數位身分驗證則是回答「那是你嗎？」¹⁶。

所謂身分驗證，就是針對使用者「所知道或所持有的事物」、或「所具備的 特徵」進行比對，以確認其身分如其所聲稱。身分驗證技術依其所運用的驗證因 子 (Authentication factor)，可概分為三類¹⁷：

1.知識(Knowledge)因子：使用者所知之事 (Something the user knows)， 如：

使用者帳號及密碼、通行密碼片語、安全問題等。

2.持有(Ownership)因子：使用者所持之物(Something the user has)，如：智慧 卡、晶片卡、憑證、動態密碼產生器等。

3.固有(Inherence)因子：使用者所具之形徵(Something the user is or does)，如：

使用者的臉型、指紋、DNA、虹膜、掌紋等生物特徵。

以下針對前述驗證因子，介紹當前幾種常見的身分驗證技術及應用¹⁸：

1. 使用者帳號密碼或安全問題

使用者帳號密碼及安全問題係最容易使用的驗證方式。由使用者設定的密碼 或安全問題之答案，只有使用者自己知道。驗證時，只須比對輸入的密碼或答案 是否正確，即可確認其身分。大多數電腦系統係使用此種方式，進行使用者之身 分驗證作業。

2.智慧卡

法國人羅蘭•莫雷諾 (Roland Moreno) 於 1974 年發明智慧卡（Smart Card），

16 ACAMS, Digital Identity and Financial Crimes,

https://www.acamstoday.org/digital-identity-and-financial-crimes-2/ (last visited July. 23, 2020).

17 李中仁，財金資訊季刊，92 期，2018 年 5 月，

https://www.fisc.com.tw/Upload/a19a130b-bb71-43e5-aaec-4c94a3765907/TC/9206.pdf

18 同上註。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

10

將具有加密儲存及資料處理能力的 IC 晶片置於塑膠卡片上，透過讀卡設備即可 讀取或處理資料。儲存於智慧卡晶片內的資料不易被破解或複製，因此，可視為 使用者所持有之獨特信物，進而確認其身分。目前智慧卡已廣泛應用於日常生活，

如：提款卡、信用卡、門禁卡等。

3. 憑證

憑證（Certificate）是由具公信力的單位 ( 如：憑證中心、政府機關等 ) 所 發放的身分證明文件，依型式可分為實體憑證與數位憑證。政府機關所發放的身 分證、駕駛執照等，均屬實體憑證；而數位憑證則是利用公開金鑰基礎架構 (Public Key Infrastructure , PKI) 技術所簽發的身分驗證電子檔案，可應用於網路 環境，藉以確認持有者身分。

數位憑證須儲存於某一種載具中，如：磁碟、光碟、隨身碟或晶片卡等，通 常具有時效性，過期即失效無法使用，須重新申請簽發或展延效期。我國內政部 推廣使用的「自然人憑證」，亦為數位憑證之一例。

4. 動態密碼

動態密碼又稱「一次性密碼」(One Time Password , OTP)，係利用特定數學 演算法計算所產生的密碼，具備「有效期間短」及「不可預測」之特性，通常須 搭配密碼產生載具(Token) 方可使用。

載具型式可分為軟體及硬體兩種，軟體載具如：行動簡訊、電子郵件、電腦 軟體或手機 APP 等；而硬體載具則須配備螢幕以顯示動態密碼，並可依實際使 用需求，製作成卡片、鑰匙圈等不同的樣式。為供螢幕顯示及密碼計算所需之電 力，硬體載具尚須配置電池，因此有其使用期限，一旦電池耗盡，就須重新配發。

相對於軟體載具，硬體載具比較安全，但成本也較高。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

11

5.生物辨識

生 物 辨 識 (Biometric) 技 術 係 利 用 生 物 與 生 俱 來 、 且 獨 一 無 二 的 生 理 (Physiological)或行為 (Behavioral) 特徵，經由測量、比對、識別等方式進行身 分驗證。常見的生理特徵如： 指紋、虹膜、視網膜、臉型、掌紋、DNA 等，而 聲紋、簽名、筆跡等則是常見的行為特徵。

運用生物辨識技術，使用者可「隨身攜帶」獨一無二的特徵，不怕遺失，不 易複製，也不必擔心遭人盜用。不過，此類驗證機制須事先收集生物特徵並建檔，

且需使用特定的驗證設備。目前實務應用以指紋辨識技術最為成熟，大多數智慧 型手機皆配備有指紋辨識系統。臉型辨識亦是發展迅速的一項技術，只需搭配小 型攝影機，即可進行身分驗證。

然而僅使用一種驗證方式，安全性上顯然不足，以最常見的帳號密碼驗證方 式為例，由於使用者設定的密碼太過簡單遭致他人破解，進而被詐騙的案例屢見 不鮮，因此後來產生了多因子驗證機制，利用不同驗證因子與驗證技術之特性，

截長補短，以期提升身分驗證之安全性，並兼顧使用者之便利性。

茲列舉幾種常見的多因子驗證機制與使用情境：

1. 使用者帳號密碼及動態密碼

大多數電腦系統皆設有使用者帳號密碼的驗證機制，如能搭配動態密碼「有 效期間短」及「不可預測」之特性，將可大幅提升驗證之安全性。採用動態密碼 機制須配備密碼產生載具，基於成本及作業考量，硬體載具較適用於注重系統安 全強度之企業組織；至於一般企業較傾向採用軟體載具。為提升使用者驗證之安 全性，目前多數雲端服務供應商皆有提供動態密碼相關服務。

2. 智慧卡及密碼

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

12

智慧卡具有難以複製之特性，但為防範卡片遺失或被竊而遭盜用，通常會輔 以密碼作為第二道驗證方式，並設定密碼輸入錯誤次數之上限，若密碼輸入錯誤 次數超過上限，即無法繼續使用卡片。各金融機構製發之晶片金融卡，即採用此 種驗證方式。

3. 憑證或智慧卡及人臉辨識

近年來，人臉辨識技術發展日趨成熟，其具有不易偽造之特性，很適合搭配 憑證或智慧卡，提供多因子驗證機制。採用此種驗證方式，須搭配特定的驗證設 備，且須先申請憑證或智慧卡，並註冊個人臉部特徵，比較適合門禁管制相關應 用。內政部移民署於機場、港口所設置的入出國自動查驗通關系統 e-Gate，即 採用電腦自動化方式，結合生物辨識科技，以護照搭配人臉辨識，實施多因子身 分驗證機制。

目前國際上對於數位身分管理以及身分驗證等技術頒布了不同的管理規章 或是國際標準，像是歐盟的電子身分認證與信賴服務規章（eIDAS）、美國國家 標準技術局（NIST）數位身分指引或是 ISO/IEC 29115 國際標準等（詳細內容將 於本文後述），綜上可知國際間將身分驗證視為一種風險基礎方法，其邏輯為：「身 分驗證方法」、「首次註冊程序」均影響「身分確信程度」，或者又稱「保證等級」

（Level of Assurance，LOA），越高強度的驗證方法，搭配越嚴謹的首次註冊程 序，所得出的確信程度越高，風險則越低¹⁹。對於「身分證明」，LOA 取決於驗 證方法，包括在註冊過程中所蒐集的個人資料和身分屬性的範圍，以及確定這些 身分屬性的精準性。例如在註冊過程中蒐集了個人資料，但沒有對重複數據進行 刪除或對現有資料庫進行準確性檢查，則將導致 LOA 降低，因為並沒有對身分 資訊進行驗證。

19 協合國際法律事務所，前揭註 3，頁 76。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

13

隨不同交易對身分真實性的要求程度，將影響所需的驗證過程。例如於線上 購物對身分真實性要求較低，採用超商貨到付款，實際上可以採用假名或假電話 進行²⁰。

來源：World Bank Group, GSMA & SIA, p21; 協合國際法律事務所，《變革 中的金融科技法制（2019）》，頁 76

在文檔中 論數位身分制度於銀行業之應用與管理法制 - 政大學術集成 (頁 12-18)