從身分驗證邁向資格證明的技術變革
在一場由 FIDO 聯盟台灣分會舉辦的交流會中,邀請親赴法國參與 FIDO Prais 2026 聯盟會議的專家與會員,針對全球身分識別標準的最新觀察與趨勢進行深度分享。
採訪/施鑫澤‧文/彥琳
近年來,隨著 AI 人工智慧的飛速演進以及國際資安法規的加速推行,「數位信任(Digital Trust)」的議題與其實踐方向,已成為全球科技產業高度關注與熱議的核心焦點。
工研院資通所副所長黃維中指出,根據今年 FIDO 聯盟(Fast IDentity Online Alliance)巴黎會議的觀察,該聯盟正積極佈局數位憑證(Digital Credentials)、代理式 AI(Agentic AI)及法規遵循(Regulatory Compliance)三大核心發展方向。
方向一:數位身分憑證(Digital Credentials)的整合應用
過去 FIDO 聯盟的核心主要聚焦於「身分驗證」(如 Passkey),解決「你是誰」的問題;然而,黃維中指出,FIDO 目前已開始跨入「資格證明」領域,探討如何驗證使用者「擁有什麼資格」(例如數位駕照)。
目前,FIDO 正積極推動將 Passkey 相關標準用於數位身分皮夾,並同步倡議建立「數位身分皮夾認證(Wallet Certification)」與「驗證方認證(Verifier Certification)」等機制,旨在建立從發行、持有到驗證的完整信任閉環與認驗證體系。
方向二:代理式 AI(Agentic AI)的身分授權與安全保障
隨著自主式代理 AI(Agentic AI)的興起,當使用者授權 AI 助理處理各類事務時,系統如何辨識指令是來自「使用者授權的 AI」而非「惡意程式」,已成為關鍵的資安挑戰。眾所皆知,AI 代理極易受到提示詞注入(Prompt Injection)、記憶體操縱或憑證濫用等風險威脅。若系統無法有效區分操作者是真人還是 AI,恐將引發嚴重的資產損失或資密外洩。
[ 加入 CIO Taiwan 官方 LINE、Facebook 與 LinkedIn,與全球 CIO 同步獲取精華見解 ]
黃維中強調,FIDO Passkey 基於公開金鑰加密技術,將私鑰安全儲存於本機裝置,登入時則透過私鑰簽章進行驗證。Passkey 的核心價值在於能確保「使用者真實存在於裝置前(User Presence)」:透過裝置端的生物特徵驗證(如 Face ID),確保在授權的關鍵時刻,確實是由「活生生的人」親自確認。
Agentic AI(代理式 AI)的三種核心互動模型,及安全考量剖析:
授權(Delegation):最具安全性的架構
使用者透過 Passkey 進行高強度身分驗證,明確授權 AI 代理執行特定任務。此模式的核心優勢在於確保初始指令來自「真實且在場」的自然人,具備最高安全保障。
模擬(Impersonation):極高風險範式
此為極度危險的模型。使用者將完整憑證(如帳密或 Passkey 存取權)移交給 AI,使其完全模仿人類行為操作系統。一旦 AI 出現邏輯判斷錯誤或遭惡意操縱,將引發災難性後果。
即時介入(Just-in-Time):便利與安全的平衡
此模型在授權後建立一段有效期會話(Session),讓使用者在會話內隨時下達新指令而無需反覆驗證。雖提升了便利性,但仍存在會話劫持(Session Hijacking)等安全疑慮。
方向三:法規遵循(Regulatory Compliance)FIDO 與歐盟 CRA 的接軌
FIDO 標準在對接歐盟《網路韌性法案》(Cyber Resilience Act;CRA)時,具備以下三大關鍵優勢:
技術標準的高度對齊(Technical Alignment):
CRA 強調裝置應內建硬體層級的信任根(Root of Trust, RoT),這與 FIDO 要求將安全金鑰儲存於安全元件(Secure Element)或信賴執行環境(TEE)的核心理念完全契合。
完備的合規證據體系(Compliance Evidence):
CRA 嚴格要求產品生命週期中的各項安全步驟均需具備文件記錄。FIDO 規格已明確定義註冊與驗證的每一個操作流程,提供清晰且透明的明文規範,成為企業應審時的強大證據支撐。
優化營運通報效率(Operational Efficiency):
面對 CRA 要求在發現漏洞後 24 小時內發布預警、72 小時內提交詳細報告的嚴苛時限,企業面臨極大挑戰。FIDO 的標準化架構有助於縮短調查與反應時間,減輕中小型企業在合規執行上的沉重負擔。
FIDO 聯盟則扮演了技術支援的角色,FIDO 聯盟會協助追蹤漏洞、提供通報範本與軟體物料清單(SBOM)管理機制,讓資源有限的業者能更有效率地應對法規要求。同時,符合 FIDO 標準並獲得認證的公司,將可以利用 FIDO 證書大幅簡化合規證明文件,降低營運負擔。
歐盟 CRA 合規與KYA信任機制
東擎科技(ASRock)資安技術主管劉佳明於參與 FIDO 巴黎會議後指出,針對歐盟《網路韌性法案》(CRA),該公司正積極落實合規要求。劉佳明認為,會議中分享的「五步驟輕量化 CRA 框架」對產品線多元的硬體供應商極具實用價值,能為企業提供從實行到完備合規的具體轉型路徑。
在 Agentic AI 的討論中,FIDO 聯盟已著手研議 KYA(Know Your Agent,認識你的代理人)議題,以應對 AI 自主操作帶來的安全隱憂。劉佳明強調,隨著 AI 被惡意指令操縱或誤導交易的風險增加,KYA 機制將由金融領域迅速擴展至 OT 工業與製造業現場。
然而,面對 OWASP 2026 將 Agentic AI 列為極高風險(惡意記憶注入成功率逾 95%),目前的 KYA 機制仍僅能驗證「身分來源」,尚無法完全確保 AI 的「行為意圖」是否遭竄改。他總結道:「KYA 是必要的起點,而非終點」,企業在應對 AI 資安威脅上仍需持續深耕。
在 AI 時代重塑「真人驗證」的信任基礎
太思科技董事長何俊炘在分享時指出,在數位化浪潮下,Google、Meta 等跨國服務商雖擁有海量用戶,卻面臨「從未與客戶謀面」的信任缺口。隨著 AI 技術爆炸式成長,如何精準判別操作者是「自然人」而非「惡意程式」或 AI,已成為數位信任的核心命題。
他進一步分析,過去被視為身分驗證標竿的 SMS OTP(簡訊動態密碼),其安全性過度依賴門號持有權。然而,門號易遭非法攔截與濫用,導致 SMS OTP 淪為詐騙集團的「基礎設施」,從低成本註冊大量假帳號,到透過惡意軟體攔截簡訊進行盜刷。
目前,印度、杜拜及馬來西亞等國家,已相繼在金融領域禁用或限制 SMS OTP,此趨勢正與 FIDO Passkey 強化安全驗證的理念不謀而合。此外,GSMA 推動的 Open Gateway API 亦提供標準化機制,讓開發者能直接串接電信網路資訊以有效阻斷詐騙行為。
強化資安戰略地位 台灣應積極對應 CRA 合規挑戰
數發部數位產業署副署長黃雅萍高度肯定與會成員無私分享國際新知的精神,並強調在地緣政治(Geopolitics)的影響下,台灣的網路安全(Cybersecurity)已具備極高的戰略價值。
針對技術演進,黃雅萍指出,人工智慧的發展速度已由「年」轉向以「月」甚至「週」為單位,特別是 AI 代理人(AI Agent)的爆發性成長,在創造商業價值的同時,也帶來了嚴峻的信任與安全考驗。她強調,AI 引發的資安問題已非單純的「超前部署」,而是產業界「不得不正面應對」的當務之急。
此外,針對已生效的歐盟《網路韌性法案》(CRA),法規將於今年(2026 年)九月進入「強制通報義務」的關鍵節點,要求企業於 24 小時內發布預警並於 72 小時內提交詳細報告。數位產業署已於 2025 年起密切追蹤相關動向,並於今年投入資源,全力協助台灣資通訊(ICT)及資訊服務業者達成合規要求。
FIDO 聯盟臺灣分會正積極扮演「產業推手」與「國際橋樑」的角色
隨著全球數位轉型的步伐邁向新階段,身分驗證技術,正迎來一場革命性的更迭。
FIDO 聯盟臺灣分會會長張心玲指出,在商務服務與金融科技(FinTech)兩大核心領域中,Passkeys 等 FIDO 技術正加速導入電子商務與數位支付。此技術不僅能有效降低資安風險(如密碼外洩、詐騙),更能優化用戶體驗,被公認為未來電商與支付安全的關鍵技術。
為了協助國內企業在這一波科技轉型中掌握先機,張心玲指出,FIDO 聯盟臺灣分會正積極扮演「產業推手」與「國際橋樑」的角色,積極推動技術標準化與產業生態系的整合。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
