特區政府開發的數碼個人身分認證服務「智方便」今日正式開始使用,完成登記後市民就可以透過「智方便」手機程式登入政府和公私營機構的網站,自動填寫表格,甚至可以用作數碼簽署,進行網上報稅或申請續領車牌就方便得到。筆者就到就近的郵局,親身體驗一下登記過程,發現當中可能存在盜用他人身分證登記的漏洞。
「智方便」有兩個版本:智方便和智方便+,兩者分別只在於後者包含數碼簽署功能,可用以網上處理法定文件和程序,例如續領車牌就要登記智方便+。
政府提供了三種登記「智方便」的方式,分別是手機程式、自助登記站,和有真人處理的登記服務櫃位或流動登記隊,當中手機程式只能登記沒有數碼簽署的智方便版本,其他方式就可以登記智方便+。
下載「智方便」手機程式
櫃位登記過程操作未夠嚴謹
筆者所採用的登記方式是郵局的登記服務櫃位,除了接受登記之外,還受理由智方便升級至智方便+,與及暫停智方便戶口手續。
登記過程需要帶備身分證和具備生物認證的智能手機,手機需要事先安裝「智方便」程式。登記只接受 11 歲或以上人士,而 11-17 歲的申請人除了要有家長或監護人陪同之外,家長或監護人亦需先登記好智方便戶口,因為其實需要透過智方便來同意申請。
在登記過程中,筆者發現有些步驟本來應該是由職員負責操作,但都任由筆者處理,例如沒有認真核對身分證上的照片與申請人容貌,容易發生盜用他人身分證去登記的問題。
另外,由於用戶的個人資料會加密儲存在手機裡,登記過程需要用戶批准程式使用手機的生物認證功能。雖然如此,如果生物認證失敗,就可以使用一組 6 位數字密碼來登入。
手機程式登記智方便
透過「智方便」手機程式也可以隨時隨地登記智方便,不過就沒有數碼簽署功能。由於手機不能讀取智能身分證晶片的資料,所以是由申請人自行輸入資料的。驗證身分證方面,申請人需要按照手機程式的提示以不同角度為身分證拍照。筆者就發現這個過程很容易失敗而無法驗證,需要重覆多次才能成功。建議大家在光線較充足沒有倒影的地方進行拍攝。
另外,手機登記也比櫃位登記多一次臉容辨識步驟,第一次拍攝是用以驗證真人,申請人在拍攝其實需要按指示轉動頭部和張開嘴巴。這個步驟中申請者不能有東西遮蓋面部,戴眼鏡也不可以。至於第二部就是 iPhone 本身的 Face ID 認證,相對自由得多。
政府回應指臉容辨識所拍下的照片會上傳到伺服器上,與身分證上的照片作核對,完成後會即時刪除。
網站登入要先授權
現時有 20 多項政府服務和兩電一煤網上服務支持「智方便」的身分認證以至數碼簽署功能。不過要在這些服務上使用「智方便」功能,得先多做一個步驟,登入有關服務的網站如政府一站通或煤氣公司網站,將「智方便」戶口綁定網上服務戶口。
保安程度不及密碼管理軟件
對於市民對「智方便」私隱的關注,港府資科辦也有備而戰,昨日記者會上列出「智方便」手機程式各個權限的用途,大致上也符合 Android 系統的所列內容。
雖然如此,筆者還是發現「智方便」有些地方需要改善。首要的問題是核實身分證與申請人方面,正如前文所述在櫃位登記有機會讓惡意分子盜用他人身分證來登記。
另外,手機程式容許生物認證失敗之後可以 6 位數字密碼來登入,相對於一般密碼管理軟件要求不固定長度大小英數符號密碼,並且作強度驗證就顯得不夠嚴謹。幸好程式有 10 次輸入錯誤帳戶就失效的功能,仍算有一定保障。
另一個問題是智方便程式一旦登入後就會長時間維持登入狀態,切換至其他程式後或者關閉手機(鎖屏)後切換回智方便程式也不再需要用生物認證登入,保安程度上就沒有密碼管理軟件常時上鎖那麼嚴謹。其實生物認證其中一個目的就是快速登入,所以即使切換程式時要再驗證其實也不算麻煩。
雖然現時採用智方便登入的服務還未算很多,不過政府有意推動更多私營網上服務使用「智方便」,著實有必要加強保安。
「智方便」手機程式在設計上綁定了一部手機,所以大家換機時要記緊做轉移操作。如果你認為沒有需要再使用智方便戶口,也可以透過手機註銷「智方便」戶口。
【更新】政府回應本網有關手機程式登記時臉容辨識與核對用戶身分過程。