智冠科技针对MyCard App推出FIDO生物辨识机制，当用户激活这项功能，在iPhone手机使用Face ID登录时，就会以基于FIDO2标准的Passkey进行无密码登录。（摄影／罗正汉）

身为台湾知名游戏通路业者的智冠科技，旗下MyCard服务已是该公司的重要业务，为了强化用户帐号的登录安全，今年7月，该公司针对MyCard App的登录，添加加FIDO生物识别登录功能，成为台湾首波导入Passkey的业者之一。

MyCard是许多游戏玩家熟悉的点数储值平台，营运至今长达17年，不仅为玩家提供更便利的支付方式，也为游戏开发商带来更多商机。然而，随着网络犯罪日益猖獗，用户帐号安全一直是MyCard面临的重要挑战。

因此，智冠科技从MyCard服务上线以来，持续强化用户帐号安全，以今年而言，7月22日正式推出基于FIDO标准的生物识别机制，于MyCard App导入Passkey无密码登录，让用户能以更安全、便利的方式进行身分验证。

因应诈骗与帐号盗用，帐号安全机制需要持续叠加与升级

为何导入FIDO无密码网络身分识别？智冠科技网络发展部经理李哲玮表示，这要从先前的帐号防护经验谈起。

过去几年来，为了防范MyCard服务上的诈骗与帐号盗用问题，智冠科技不只是要创建防诈机制，也推出多项帐号安全机制，并持续关注更进一步的作法。

例如，2007年MyCard服务上线的会员帐号Email验证，2012年增加芯片卡、MOTP、通信锁的进阶验证，到了2014年，加入安全支付密码机制，也就是帐号点数交易转移需额外输入支付密码。

2018年出现重大转变！因为智冠科技将MyCard会员注册系统优化后，要求所有会员帐号都必须完成手机号码绑定；2019年继续增加单一行动设备绑定，加强MyCard App登录安全性；2021年进一步针对会员注册的IP位址与国别，导入相关条件验证，避免跨区帐号盗用。

2022年是新的转捩点！此时他们添加手机生物辨识登录的机制，让用户的登录可以更简便，但他们留意国内金融业积极导入基于FIDO的生物识别技术，以及「TWID身分识别中心」在MID（Mobile ID）门号认证的发展。

因此，他们展开FIDO技术的可行性评估，今年开始展开行动，主要因为得知数位发展部数位产业署有相关推动，也就是「数位信任场域服务实地验证计划」，于是，智冠在3月决定参与该计划的FIDO应用项目。

李哲玮透露，他们这么做还有另一层考量。由于智冠科技用户涵盖多国，不只台、港、澳，以及中国、东南亚，还有少数欧美玩家，若符合FIDO国际标准也有额外效益，像是国际厂商合作方面，因此先聚焦Passkey的导入。

至于前述提到的MID行动身分识别，虽然是以国内电信门号为主，但他们认为这是后续可以关注的重点，希望对用户帐号安全防护带来更好的效益。

初期以MyCard App登录应用为主，两大考量是关键

关于导入Passkey、推出FIDO生物识别快速登录，智冠科技目前将这项功能提供于MyCard App。为何只有App登录应用此技术？李哲玮解释，主要有两大考量。

首先，根据他们的内部统计显示，大部分用户都通过行动设备使用其服务，其次，现阶段用户在电脑登录会员时，已有不需在网站输入帐密的方式，并且都是需要通过MyCard App运行。

基于上述这两项考量，他们选择以MyCard App作为前期FIDO导入重点。

以智冠科技的导入历程而言，今年3月开始进行前期评估，5月到7月是建置期，并在7月22日正式对外提供。而在推出之前，还经过一个星期的内部测试，而且从6月就开始对用户宣导，鼓励他们升级使用FIDO登录。

李哲玮表示，评估导入FIDO时，他们聚焦两个面向，一是会员登录机制是否需要相应的调整，一是自行开发或与外部厂商合作。

由于这次计划有时间压力，加上智冠内部的程序都是内部人员开发，因此他们担心与外部厂商合作时，会因为沟通而导致时程延宕，加上公司本身的产业链与其他领域不同，客制化需求不少，以及希望自己在用户流程的掌控度更高，以便提供更好的客户体验，最终决定自行开发设计。

不过，对于该公司的技术团队而言，FIDO2是陌生的新技术，他们因此找到工研院，请专家提供协助，让公司能够顺利导入。而且，该公司也开发对应FIDO2标准的验证服务器，并取得FIDO联盟的认证。

之所以取得这项认证，李哲玮表示，目的不仅是希望获得用户信任，也符合他们推广FIDO应用范围的长期策略，目前他们也正持续评估FIDO技术在子公司内的应用场景，并计划将此技术扩展至数位内容合作伙伴。

传统生物识别登录已过时，FIDO生物识别让安全再升级

关于这次升级FIDO生物辨识，智冠科技提到他们面临的一项挑战，就是如何与用户沟通、说明升级的必要性。

这是因为，该公司在2022年已推出手机生物辨识登录，在2024年7月新升级FIDO生物识别登录，但对MyCard App用户而言，这两种方式在后续登录的操作，可能没有明显差异。

李哲玮强调，在帐号安全上，这两种机制的防护强度并不相同。

简单来说，MyCard App在2022年提供的手机生物辨识登录，主要是结合iOS与Android设备本身的生物识别功能，作法较传统；现在新提供的FIDO生物识别登录，背后采用国际FIDO联盟订定的网络身分识别标准，当中结合公开密钥加密架构与生物辨识技术，让服务器端只有保存公钥，将身分验证在设备端进行，提供更好的网站登录安全机制。

具体而言，他们采用FIDO2标准所衍生的Passkey，目前智冠科技在iOS与Android手机端采用的FIDO2标准验证，其实就是应用苹果与Google的Passkey通行密钥。例如，当我们在iPhone手机登录MyCard App，此时可以看到Face ID生物辨识的登录画面，显示是以Passkey进行无密码登录。

因此，为了促进用户理解这次升级的原因，李哲玮表示，智冠科技在机制上线前一个月，就设立宣传网站，希望提早让用户知道为何要升级，了解FIDO是国际标准，借此提升用户的接受度。

 智冠MyCard服务推8大帐号安全机制 

  时间       添加帐号安全机制 

 2007年     MyCard平台的会员服务机制上线，提供会员帐号Email的验证。 

 2012年     增加进阶验证机制，包括芯片卡、MOTP、通信锁。 

 2014年     增加进阶验证机制，提供会员帐号点数转移时的安全支付密码机制。 

 2018年     会员帐号增加手机门号绑定，等于需经过手机号码与Email的双验证，才能使用MyCard服务。 

 2019年     针对MyCard App会员登录，提供单一行动设备绑定机制。 

 2021年     增加进阶验证机制，针对会员注册的IP位址、国别，进行条件验证。 

 2022年     针对MyCard App提供串接手机生物辨识的登录机制。 

 2024年     针对MyCard App升级FIDO生物识别机制，提供基于FIDO2标准Passkey的更安全登录。 

：智冠科技，iThome整理，2024年11月

 相关报导