作者:FIDO联盟工作人员
欧盟的数字安全、隐私和身份验证环境正在迅速发展,新的法规可能会对其公民以及世界各地的公司产生广泛的影响。
在 6 月 17 日举行的“认证虚拟峰会:聚焦欧洲”上,欧洲认证市场的专家们深入探讨了最新发展,包括 PSD2 SCA(支付服务指令强客户认证)、委托认证、eIDAS(电子身份认证、认证和信任服务)和欧盟数字钱包等。
FIDO 联盟执行董事兼首席营销官 Andrew Shikiar 在虚拟峰会开幕式上概述了 FIDO 规范的工作原理,以及为什么强身份验证对于包括电子商务、物联网 (IoT) 和身份验证在内的多个用例至关重要。
“FIDO从第一天起的目标就是减少对密码的依赖,但在某些方面,这只是达到目的的一种手段,真正试图解决数据泄露问题,因为绝大多数数据泄露都是由弱凭据引起的,”Shikiar说。
随着 FIDO 向前发展,有必要加强身份验证保证,以支持更好、更安全的帐户恢复。 作为其中的一部分,Shikiar指出,FIDO联盟启动了身份验证和绑定工作组(IDWG),该工作组正在推动这项工作。
“我们正在寻求建立基于拥有的身份验证的最佳实践,”Shikiar说。 “这不仅可以实现更安全、更轻松、更强大的帐户恢复,而且这样做还可以阻止黑客利用帐户恢复过程作为社会工程帐户接管的契机。
帮助限制购物车放弃
NokNok 产品副总裁 Rolf Lindemann 表示,电子商务成功与强身份验证之间存在着切实的联系。
Lindermann 指出,在大流行期间,电子商务的增长速度比以往任何时候都快。 但是,由于 13% 的信用卡在线支付尚未完成,很明显,购物车放弃仍在对业务产生重大影响。
“我们了解到,一般来说,身份验证摩擦是放弃卡的主要因素,”Lindermann 说。 “鉴于在线身份验证是所有在线交易的核心,这一点变得显而易见。一般来说,身份验证是数字服务的前门。
减少身份验证摩擦的途径涉及使用FIDO,Lindermann表示,FIDO可以帮助实现强大的客户身份验证,只需一个方便的步骤即可实现。
迈向经过严格认证的数字身份
在欧洲和世界其他地方,关于启用和提供某种形式的数字身份的必要性的讨论越来越多。 根据 Consult Hyperion 首席运营官 Steve Pannifer 的说法,数字身份由三件事组成:识别、身份验证和授权。
Pannifer 解释说,身份识别就是要问一个问题——这个人是真实的、独特的和可识别的吗? 身份验证是意识到已识别人员再次使用服务的过程,因为服务提供商想知道是否是在过去某个时间点建立身份的同一个人。 授权将它们联系在一起,它使用身份和身份验证来访问服务。
“数字身份本身不是一种手段,而是达到目的的手段,”Pannifer说。 “它所服务的最终目的是我试图获得的所有服务。
Keyless的联合创始人兼首席运营官Fabian Eberle也是数字身份的忠实信徒。 在一次会议中,Eberle概述了对个人身份管理的去中心化系统的需求。 这样的系统让用户控制自己的身份信息,并允许他们以更私密和安全的方式有选择地披露该身份数据。
Eberle指出,在LUISS Guido Carli大学,现在有超过10,000名学生受益于有助于支持远程教育服务的数字身份系统。 无钥匙方法受益于 FIDO 标准,有助于以无摩擦的方法验证设备并识别学生。
欧洲数字身份:eIDAS
在欧盟,有一项名为 eIDAS 的努力,它是相互承认国家数字身份计划的法律框架。
“eIDAS的目的是让任何欧洲国家的公民都能跨境访问欧盟的任何公共服务,”Yubico的高级解决方案架构师Sebastian Elfors解释说。
欧洲各国政府越来越多地采用FIDO标准来帮助支持eIDAS工作。 Elfors强调的其中包括挪威的医疗保健认证,瑞典大学的EduID和英国的国家卫生服务(NHS)。
FIDO标准也帮助捷克共和国的CZ发展。NIC顶级域名注册机构,该域名注册局还运营mojedID(捷克语中的my ID)服务。
Jaromi Talir,CZ 的技术研究员。NIC 和 eIDAS 技术小组成员解释说,域名注册机构要求验证域名所有者的身份。 这一要求导致了mojeID的创建,该mojeID自2019年以来一直使用FIDO标准。 塔里尔解释说,CZ.NIC 使用 FIDO 来支持基于多重强身份验证的方法,以帮助对用户身份进行身份验证。
使用 FIDO 支持委派身份验证
随着欧盟支付服务指令强客户身份验证 (PSD2 SCA) 于 2021 年生效,对商家向支付提供商验证消费者身份的要求非常严格。
在小组讨论中,万事达卡产品开发副总裁乔纳森·格罗萨尔(Jonathan Grossar)评论说,在推出PSD2 SCA后的几个月内,消费者放弃的交易数量有所增加。
“因此,PSD2 SCA的一个问题是,消费者可能需要进行两次身份验证,”Grossar说。 “首先,商家可以访问帐户或存储在文件中的卡,然后第二次与银行进行交易,然后可能使用不同的身份验证机制。
所有这些额外的步骤都会给商家和消费者带来额外的摩擦和复杂性,这可以通过一种称为委托身份验证的方法来缓解。 格罗萨尔解释说,通过委托身份验证,整个身份验证部分由商家使用安全机制进行处理。 在Grossar看来,将FIDO标准与EMVco的 3-D Secure 标准相结合来共享身份验证和风险数据是前进的方向。
“FIDO可以在多个设备和平台上互操作,”Grossar说。 “因此,简而言之,您现在有数十亿台设备启用了 FIDO,这些设备可能可用于委托身份验证。”
亚马逊欧盟支付受理和国际扩张负责人Jason Muncey也对使用FIDO进行委托身份验证持乐观态度。 Muncey 评论说,即使在 PSD2 SCA 要求之前,放弃购物车也只是所有商家不得不忍受的痛苦。 他认为,确实需要采取某种形式的一致做法。
Worldpay产品总监兼身份验证主管Lee Goddard也指出,在购买过程中,总会有一定程度的放弃潜力。
“我认为FIDO的委托身份验证方法将真正在消除越来越多的放弃方面更进一步,”她说。
欧洲远程身份验证
随着大流行,进行面对面身份验证的能力变得具有挑战性,这导致欧洲和世界其他地区需要增加远程身份验证。
在小组讨论中,Jumio 产品管理高级总监 Santosh Rajvaidya 指出,迄今为止,欧洲在远程身份验证方面还没有一致的方法。 随着欧盟委员会新的数字身份钱包方法的推出,这种情况可能会改变,这可能是朝着正确方向迈出的第一步。
“数字身份钱包正在发生的事情是,你对你的身份证进行一次性验证,并在数字身份钱包中创建身份,”Rajvaidya说。 “从那时起,用户可以在不同的应用程序中多次重复使用它。
现在,FIDO内部还有一个身份验证和绑定工作组IDWG,该工作组正在开展工作,这也将有助于远程身份验证工作。 IDnow监管事务主管Rayissa Armata评论说,在验证方面,用户体验和便利性是关键属性。
“大多数用户并不关心他们的身份或数据隐私,他们会勾选方框并继续前进,他们只想获得他们的服务,”她说。
FIDO联盟执行董事兼首席营销官Andrew Shikiar在结束虚拟认证峰会时强调,FIDO联盟在当今欧洲和世界各地都处于一个非常好的位置。
“我们看到越来越多的公司采用FIDO认证,”Shikiar说。 “我个人坚信,在未来几年内,几乎所有在线消费者服务都将提供无密码登录选项,我们希望其中绝大多数都利用FIDO。
期待下一届 FIDO Authenticate 虚拟峰会将于 9 月举行,重点是政府服务。 然后在 10 月,FIDO 联盟将在西雅图举办首次现场活动,即 Authenticate Conference。