在凡事追求迅速、便利的現代生活中,行動支付儼然已成為生活中不可或缺的要角,但是行動支付相關的安全機制措施、如何有效控管,讓支付工具使用更完善,則成為一大課題。
關於行動支付的安全性
多數行動支付依賴的防護是App內的密碼機制。例如Line Pay、街口支付等,只要於交易前輸入密碼即可開啟支付功能。當手機遭竊,嫌犯可以直接透過App內「忘記密碼」,系統將會寄送一組新密碼至申請帳號者的信箱,取得新密碼後就可以產生付款條碼進行交易。若是原手機擁有者沒有設置手機解鎖密碼,一旦手機遭竊取,那麼App的內密碼將形同虛設。
2017年台灣發生Apple Pay盜刷事件,嫌犯盜取信用卡後,將卡片與自己的手機綁定,並聯絡銀行,將被害持卡人電話號碼更改成自己的手機號碼,之後銀行傳送簡訊密碼至嫌犯手機進行驗證,完成盜刷。
有鑑於此,金管會於2018年8月發函要求,銀行須建置警示指標,變更手機或電子郵件信箱,或由客戶撥其他留存電話確認後才能變更資訊,以免冒用。
使用者更改資料身分驗證機制不完
若使用者欲更改資料時,因為沒有經過嚴謹的身分辨識機制,造成在申請電話變更或是申請忘記密碼時,無法有效確認是本人的情況下,仍可能因手機遺失、或是簡訊遭到駭客竊取而發生許多交易弊端。
該如何強化身分驗證機制
目前行動支應用NFC技術,讓兩個物體在一公分的距離內交換資料封包,利用NFC讀卡機,和手機感應後,將會讀取手機內部安全晶片資料。這樣的做法和傳統信用卡類似,但是最大的差別為傳統信用卡需要透過本人簽名來確認為本人;手機支付則是透過指紋或是密碼就可以完成交易。
目前線上付款主要是透過:密碼、指紋、臉部辨識等機制來驗證交易者身分。手機成為行動支付的載具後,即便是手機不離身,仍無法完全確保交易資訊不會遭到盜用。而線上交易常用OTP簡訊密碼驗證來確認交易是本人,但是此機制仍存在著密碼被駭客竊取的風險,進而遭盜刷。
雲想科技發展出一套動態性生物簽名技術「SelfieSign影音電子簽名」,結合自拍錄影並且搭配人臉辨識,除了可以明確辨識簽署人身分,也能清楚記錄簽署者為意識清醒(Alive)、具有明確簽署意願(Aware)、並確實簽名同意(Approve),我們稱之為3A簽章技術。不只是臉部辨識,SelfieSign也可以結合其他身分驗證方式(但非絕對必要),透過完整記錄簽名過程,讓流程透明化。最重要的是,簽名過程中的人、事、時、地、物等證據都可以由SelfieSign以錄影、錄音的形式記錄,達到最佳「不可否認性」。
政府即將開放純網銀執照,在無實體臨櫃的身份安全驗證下, 如何同時兼顧金融服務的便利性與線上交易的風險,是純網銀業者第一個亟需解決的難題 。雲想科技將SelfieSign的應用進一步延伸,結合OTP簡訊密碼驗證,與人臉辨識,在短短約15秒的過程中,同時「錄下OTP輸入過程」,完成「人臉辨識」並存證「本人錄影簽名」,形成「三重資安驗證與存證」。此項結合同步錄影交易者輸入 OTP過程的技術稱為SelfieVideo-OTP (簡稱 SV-OTP) , 目前通過台灣發明專利。
在行動支付不可或缺的現在,行動支付生命週期活動中的交易過程會經過多重關係人,資訊容易外流。除了消費者本身要有良好手機上網、購物習慣之外,應再加上嚴謹的驗證機制如SelfieSign,如此才能消費得更安心、更有保障。