不少大企業與金融機構曾因採用生物辨識技術讓用戶使用服務意願提高，成為提升轉換率與使用體驗的重要手段；但近年因生成式AI與深偽（deepfake）技術進步，生物特徵反成為駭客或詐騙業者新的突破點，讓「自然人憑證」信任基礎開始動搖。

技術進步 挑戰防禦系統

來毅數位董事長林政毅指出，深偽技術主要與社交工程結合，對企業數位信任體系的挑戰，企業不能以生物驗證做最後防線，而是多加一步，從單點資安防護變成MFA（多因素驗證），在多層防禦、流程與訓練之中，建立動態且持續的信任機制。

林政毅指出，生物驗證確實有好處，因為利用指紋、面部辨識做更直觀、快速的身分識別，降低密碼管理成本、提升使用者體驗，大幅帶動行動服務與遠端KYC的普及。

他有傳統銀行客戶在導入指紋辨識後，數位銀行的開戶和使用率大幅上升，帶動業務成長的經驗，顯示「安全且無感」的資安體驗確實能讓用戶更快採用服務。

但他也指出，目前深偽影像與語音已經能以極低成本大量生成，單一因子（僅人臉或聲音）加上結合社交工程的攻擊時，僅以人臉或聲音去辨識會失敗，已有財務、營運或智慧財產造成重大損失的案例，國際間已不乏案例，當深偽的聲音或面部用來詐騙高階授權，一通視訊電話就可能造成鉅額匯款損失。

林政毅指出，生物驗證靠的是獨一無二的生物特徵，但不能只有一個資安防護。他提出四點建議，首先是目前國際間資安業者多半提出以多因子與風險引擎整合，也就是除了生物特徵，也要考慮地理位置、行為模式、SIM╱網路層級資訊等多重訊號都納入風險評估，因為高風險交易要求更強的多因子驗證，保持企業資安防護韌性。

多重模式 加強流程檢驗

第二是對使用者要持續驗證與零信任（Zero Trust）思維，採用用戶背景行為監控、持續評估機制，不因為使用者一次登入成功就永久授權，只要操作軌跡出現異常，啟動重新驗證或升級驗證流程，以零信任原則對每次存取進行上下文檢驗。

第三是員工訓練並加強流程的檢驗，林政毅說，員工有沒有資安意識很重要，詐騙手法日新月異，在高風險操作（如大額匯款）上不但要多重簽核與跨通道確認流程，更要將深偽情境納入社交工程演練，讓員工熟悉辨識技巧（例如關鍵用詞），不要因為是主管打來就馬上奉命行事。

最後是資安的技術實作，企業的資安韌性不單依賴生物驗證，加入雙通道驗證、行為與環境風險引擎，或依照產業法令規定，拉高到與國際標準接軌，換言之，裝置綁定、雙通道驗證，提高資安複雜度，避免單純依賴人臉或聲紋的盲點。

林政毅也坦言，產業提到納入資安方案，往往覺得是拉高成本，其實各產業要求的標準不同，例如電商、零售與金融業的法遵強度有差異，MFA的組合要因時制宜。建議企業先做好風險分層和流程強化，導入以FIDO為核心的無感認證，搭配風險引擎與持續監測，實行既安全又具經濟效益的資安保護方案。   <摘錄經濟>