網上購物或登入服務,不時需要進行身份驗證,其中,使用短訊接收一次性密碼就相當普遍。最近,香港有一家初創研發出專利技術,可以透過用戶的 SIM 卡號碼作驗證用途,減省接受短訊的麻煩,帶來更大的便利。
本地初創 Polydigi 之前研發的認證技術名為「SIMKEYGO」,用戶以手機登入網上服務時,輸入用戶名稱及密碼後,「SIMKEYGO」可以核對裝置上的電話號碼,與登記者本人是否脗合,用戶無須輸入任何驗證碼,一鍵即可完成第二重認證,無須接收短訊再輸入一次性密碼即能完成身份認證。
▲手機已是人人必備的隨身裝置。現時每張 SIM 卡上亦有獨特的編碼,而 Polydigi 正正看準這組數字作為認證技術的基礎。
採用「半碼核對」技術確保數據不洩漏
Polydigi 創辦人 Curtis Chan 和資訊總監 Alexander Chow 在訪談中表示,當每個人都利用電話號碼或 SIM 卡作為登記銀行服務的其中一種方式,因此 SIM 卡可提供額外的重要功能。Polydigi 的專利技術稱為「半碼核對」,商戶只須依靠電話卡號碼的最後四位數字,Polydigi 就會負責核對你的電話號碼最後四位數字是否正確。如正確的話,就會向電訊商索取電話頭四位數字供商戶核對;而過程中傳輸的電話卡號碼數字都是打亂次序處理以防截取,確保安全。
▲Polydigi 創辦人 Curtis Chan(左) 和資訊總監 Alexander Chow (中) 認為一次性短訊密碼對用戶來說不方便及不安全 。
他們形容,這樣可令雙方都只會手持一半資料以作核對,亦相信對方未有掌握全部資料,純粹只作半碼核對便無須擔心私隱外洩問題,改變了過往的認證方式。由於每張 SIM 卡上的編碼都不一樣,Polydigi 可以告訴商戶哪位用戶更換了 SIM 卡。兩位指出,這個環節很關鍵,因為可以解決被人冒取 SIM 卡和被偷用電話卡的問題,這亦是短訊認證所不能做到的功能。
在用戶的角度,這項技術亦免卻了輸入驗證碼的時間,不但提供了便利,亦解決了接受短訊過程中,有機會被截取及盜用身份。Curtis 表示,過往的核對過程中,電訊商只是提供傳送管道,即使驗證或交易過程中出現任何問題,也僅由用戶自行承擔。故對用戶來說,利用一次性短訊密碼為驗證有機會被黑客截取,未能提供絕對的保障。
▲用戶只須按確認,後台就能自行安排用戶雙方作半碼核對。
潛在市場不只有銀行
早前歐盟發佈的 PSD2 文件中,將一次性密碼驗證歸類為不安全驗證方式,隨之有不少銀行已經棄用,因此他們決心利用新技術取替短訊認證。他們分享指,Polydigi 的業務並非只針對銀行服務。他們研發這項技術時是瞄準 5G 發展而來,亦即是物聯網而進行。他們說,人類在全球只有六十億,但物聯網市場是不只六十億。現時短訊一次性認證全球每日的使用量約為三千萬美金,而且尚未包括物聯網使用。如果包括在內,數字相信會非常龐大。如果最後連智能機械亦需要身份認證的話,市場將會更龐大。
兩位指出,其實每個人的手機都是一個物聯網控制裝置。現時有很多智能家居裝置,其實手機能連接全部裝置,所以他們才需要一個身份認證令到物聯網控制裝置(即手提電話)即使愈來愈智能時,也不能被他人冒充。
與電訊商合作提供保安套餐
在營運模式方面,他們稱採用 B+B(企業加企業)模式營運,他們先和電訊商合作,然後電訊商以一個保安套餐形式讓電訊商客戶購買。後台方面,他們已經與電訊商連接好,如果銀行又或者任何一間商戶須保護客戶資訊,覺得需要多一種雙重認證的話,就可以整合至他們公司的網上平台。至於如何解決電訊商因為利用新技術而失去大量 SMS 收入,兩位都認為因為技術必須利用數據,如果用戶在外地就需要數據漫遊,當中有可能令電商訊的收入有增無減。
兩位坦言,在香港發展金融科技遇到不少困難,因為香港許多機構都未必願意嘗試新系統。他們最近入選蘇格蘭皇家銀行的加速器計劃,希望透過到外地試行令技術盡快落地,為本地機構提供信心及實例。
▲技術須利用數據支援,故用戶身在外地時亦須運用外遊數據, Curtis 表示對於電訊商來說收入可有望超越短訊發送。
