防盜帳號不簡單!直擊 LINE X Intertrust 資安大會,捍衛數位世界身份與信用

評論
評論

今年 LINE 和 Intertrust 共同舉辦的資安會議於 5 月底在東京展開。本次主題圍繞「數位身份」以及「數位信任」展開,講者陣容十分堅強,除了 LINE 和 Intertrust 自身資安人員,還有 NEC、日立、Google 等軟硬體知名公司代表,以及 Open ID 基金會董事長從身份的定義與本質來探討。

「身份」到底是什麼?

LINE Intertrust 2019

Open ID 基金會董事長崎村夏彥從自身童年經歷出發,探討「什麼是身份」,用各種趣味的比喻將數位世界與數位身份具體化。

首先,崎村認為現代人每天花超過一半時間待在裡面的數位空間是「第八大陸」,在這塊大陸上的產值成長相當快速。但跟現實不一樣的是,人們在數位空間並不算真正「擁有」這些資產,充其量只是有這些資產的使用權罷了,因此身份認證就成了連結個體與使用權的關鍵。

他再舉例,自己於南非求學時一位童年玩伴名叫 Mark Ndesanjo,但家庭歷經分合而改姓。沒想到多年後在美國竟偶遇記者問起此人,才知道 Mark Ndesanjo 原名竟是 Mark Obama -- 美國總統 Barack Obama 一半血緣的兄弟。

這讓崎村理解到,個體的存在、自己認定的身份,他人認定的身份可能是截然不同的事。

身份的定義是:Set of attributes of entity (個體的一組屬性)。

他認為個體存在,而對其加上的個人訊息加起來構成了「身份」。數位身份就是將身份資訊儲存於伺服器,個體再透過密碼、定位、裝置編號、帳號等方式存取身份資料,與之連結起來就獲得了數位身份。

每個服務都會產生一組身份,出現分項身份的需求,但一方面又要顧及隱私權。於是 Open ID 這樣第三方的認證就出現了,搭配代碼化(token)的 ID 與密碼,就可以針對每項 app 與服務的登入釋出有限度的必要資訊。

分散式的身份認證 TIDALs

dave_maher4
▲Intertrust CTO Dave Maher。Photo Credit: LINE 提供

Intertrust CTO Dave Maher 則分享區塊鏈技術的認證概念,TIDALs (Trusted Immutable Distributed Assertion Ledgers) 可以用區塊鏈技術達成分散式憑證,避免憑證集中管理的風險。而且區塊鏈可以溯源,直接找出其中有問題的來源,避免現金憑證一旦遭破解,還得回到源頭一個個重發的問題。

Intertrust 日本的技術副總長尾豐也在講題中以知名影片假造 AI 程式 Deepfake 議題舉例,利用區塊鏈可以從拍攝、剪接、後製、發表流程中逐一紀錄,配合自動檢視這些來源可信度的使用介面,自動判別一則影片是否有造假可能。

但是 Maher 也表明區塊鏈計算能紀錄,但無法保證一開始輸入的資料就是真資料,這點也是一直區塊鏈飽受批評的地方。畢竟一開始就輸入假紀錄、假認證,就算紀錄在鏈上也沒用;但這對其他傳統方法如憑證也是一樣的,所以依舊需要法律等外在規範解決,確認誠實紀錄。

不過目前這套機制僅是概念,尚未有實際的應用,卻不失為另一個有趣的討論方向。

LINE 信用點數

LINE_intertrust_3

隨著法規通過,LINE 在日本的信用評分系統(credit score)蓄勢待發,台灣之後也有計劃伴隨網路銀行與金融服務引進。LINE Financial 的經理關水和則(Kazunori Sekimizu) 就針對這套系統帶來更進一步的說明。

關水說,分數系統就是根據使用者行為來累積分數。傳統的信用評分標準曖昧,是根據國籍、家庭狀況、性別等訊息來進行推論,而且向教育、專業背景的調查又相當無趣。而 LINE 信用評分系統透過在 LINE 使用者在其各項服務中的行為來轉換為分數,不僅更個人化,也更有趣。

隱私方面,面對行為數據利用上的疑慮,LINE 將要不要採用信用分數的決定權交到使用者自己手中,而有些服務比如保險,可能會需要使用者同意加入信用分數系統才能使用,還是能成為加入此系統的誘因。要給使用者自由選擇要使用哪些服務,每一項服務的分數可以個別取消。

實務上的評分還是會綜合傳統條件式的評比,以及 AI 機器學習來作為數據判斷依據,除了金融、保險外,像是租車、購物等行為記錄也可納入考量。

當然這套信用系統業面臨一些尚待解決的問題。首先,使用 AI 整理數據讓評分自動化,但 AI 可能會產生新的偏見。公開系統可以讓大眾檢視,卻也面臨遭到濫用的風險,該如何找到平衡點將是一大考驗。

另一方面,等到此信用評分機制普及,沒有使用 LINE 者的信用評等可能會被低估,這點也必須解決。

而牽涉到信用資安更得嚴密,確保數位身份顯得相當重要,這方面可以透過連結 eKYC、FIDO、OpenID 等綜合方式進行認證。若需要提供使用者的信用資料給予第三方,也要設立等級,針對網路服務提供商、數據提供商等分別授權不同限度的資料。

相較於過去集中探討一項技術,這次大會和應用離得更近了,不論是實際案例或是預想概念,這些橫跨軟硬體的主題,都是由實務問題延伸出的精彩解決方案。對於重心來到數位金融的 LINE 來說,身份驗證與信任更是切身議題,可以期待 LINE 將安全技術應用到未來服務上,也期待下一次的資安大會有更精彩的火花。

核稿編輯:Chris


精選熱門好工作

行銷企劃專員(海外市場/電商)

VeryBuy非常勸敗
臺北市.台灣

獎勵 NT$20,000

樂趣買Growth Marketing Lead(Rakuma)

台灣樂天市場
臺北市.台灣

獎勵 NT$20,000

資深前端工程師 - 影音串流 (Senior Frontend Engineer)

iKala 愛卡拉
臺北市.台灣

獎勵 NT$20,000

評論