近期大量LINE帳號遭盜用的事件受到廣泛關注,雖然這次事件主因在於電信業語音信箱採用預設密碼,讓攻擊者有機可乘,但整起事件背後還有其他更深層議題值得探討,因為雲端服務相關身分驗證機制仍仰賴OTP認證碼(一次性密碼)。
儘管全球產業早已推動採用更強的多因素驗證(MFA)與Passkey,以降低雲端服務登入遭網釣風險,但許多平臺在帳號註冊或復原的流程中,至今仍經常依賴簡訊OTP作為身分驗證方式。
是否已有因應之道?今年3月FIDO臺灣分會舉辦活動,太思科技董事長何俊炘在一場演說剛好談及這方面的議題,揭露全球多國政府陸續禁用OTP的態勢之餘,更強調FIDO聯盟成員正積極與電信業合作的全新發展態勢。
串連電信資源,電話號碼驗證PNV正興起
何俊炘表示,FIDO生態系如何與電信業者深度結合,是他今年2月參與FIDO巴黎研討會時關注的核心議題。
目前相關對策仍在持續發展中,其中有兩大技術趨勢備受矚目:一是仰賴電話號碼的電話號碼驗證(Phone Number Verification,PNV)機制,另一則是去電話號碼識別,基於eSIM Passkey的技術方案。
關於PNV的發展,何俊炘表示,身為FIDO聯盟成員的Google,去年在臺解析Passkey技術時,就曾介紹PNV電話號碼認證機制的進展,而其重點就是設法與電信業者合作。
他進一步解釋,由於Google等許多大型雲端服務業者的用戶規模數以億計,難以逐一驗證身分,因此現行的帳號復原流程,仍會依賴電信業者協助傳送簡訊OTP。然而,鑑於簡訊OTP安全性不足,因此業界正加速轉向更安全的驗證機制,像是Google推動的PNV電話號碼認證機制,就是設法與電信業者的直接整合,並藉助Firebase等服務來協調與介接。
根據Firebase網站說明,Firebase PNV公開預覽版已於今年3月1日正式推出,象徵電話號碼驗證機制的重大演進。目前,該計畫已與芬蘭、德國、印度、荷蘭、馬來西亞及英國等多國電信業者展開深度合作。
換言之,Google新推動的PNV電話號碼認證即是為了解決簡訊OTP的痛點:藉由電信業者在網路端掌握的門號、裝置與連線資訊進行背景驗證。
另一科技大廠Meta同樣重視此議題,何俊炘表示,Meta在一個月前發布白皮書「The Promise of Phone Number Silent Authentication APIs」,也是基於相同理由聚焦靜默網路認證(Silent Network Auth)而來。
在此同時,GSMA全球行動通訊系統協會亦積極推動標準化,在GSMA Open Gateway框架之下,提供Number Verification API,利用行動網路原生的IP位址與裝置狀態資訊來背景比對,實現無感門號驗證,並可協同SIM Swap API快速偵測該門號指定期間(如近一個月內)是否有更換SIM卡的紀錄,藉此防範帳號盜用。
提倡「去電話號碼識別」,eSIM Passkey發展成新焦點
關於另一項eSIM Passkey與去電話號碼識別的發展,何俊炘表示,目前FIDO聯盟成員正與電信業者合作,評估導入eSIM Passkey的可行性,以提供更安全的MFA。
具體而言,太思科技正與GSMA全球行動通訊系統協會討論,將eSIM Passkey API標準化,成為全球電信業者通用的Open API。在此同時,太思科技已經開始與印度、日本、歐洲等幾個國家電信業者展開合作。
為何此機制比PNV更安全?何俊炘指出,前述的Number Verification機制本質上是被動驗證,用戶不會察覺驗證過程,不會被告知,但對於高風險交易而言,仍需要用戶主動確認。
他進一步說明,現行GSMA Open Gateway框架雖然透過開放API提供驗證能力,但本質多屬於網路層的狀態查詢與比對。對金融業者而言,僅依賴這類網路層回報,難以滿足強式MFA、可稽核性與不可否認性等監管要求。因此,仍需由電信端或信任服務端提供更高安全性的機制,才能支撐銀行與高風險服務場景的需求。
另一項關鍵議題在於,現行電話號碼一旦給出去就難以收回,任何人甚至AI都可以撥打或發送簡訊給你。何俊炘強調,電話號碼的本質並非為網路身分而設計,其初衷是通訊路由,而非數位身分識別。將電話號碼視為身分錨點,已帶來系統性風險,未來的信任架構應朝「去識別化即設計(De-identification by design)」發展。
因此,這項新方案不僅是將FIDO技術延伸至eSIM層,發展出eSIM Passkey,同時也強調「去電話號碼識別」並可用於網路的數位身分,而且能夠達到身分驗證AAL2的安全水準,亦可整合數位身分皮夾。
不過這項方案仍需與FIDO聯盟合作推動。新方案採用電信OTA專用通道進行驗證,與現行FIDO機制有所不同,因此這仍是目前需要持續推進的發展方向。
面對簡訊OTP,PNV與eSIM Passkey成新對策.jpg)
面對簡訊OTP,PNV與eSIM Passkey成新對策.jpg)
總結這兩項技術的發展,何俊炘指出,PNV是電信網路端發起,用戶被動接受認證的方案,某些低安全性認證情境可以取代簡訊OTP;eSIM Passkey則進一步以eSIM晶片做到AAL2加密認證,取代目前使用簡訊OTP作為MFA的場景。
另外,對於近期LINE帳號盜用的事件,後續我們也請何俊炘分享其觀察與見解。何俊炘表示:駭客使用LINE語音驗證的前提,需要知道用戶的電話號碼,才能進入語音信箱聽取OTP。所以,根本的原因是個人資料的洩漏,如果服務商不以用戶電話號碼作為服務ID,就可以避免這樣的問題。而像是eSIM Passkey的認證方式,不需要電話號碼,不會洩漏個資。
