更多

    【更新】「智方便」免拍照登記流程體驗    
    有盜用他人身分證登記漏洞?!

    特區政府開發的數碼個人身分認證服務「智方便」今日正式開始使用,完成登記後市民就可以透過「智方便」手機程式登入政府和公私營機構的網站,自動填寫表格,甚至可以用作數碼簽署,進行網上報稅或申請續領車牌就方便得到。筆者就到就近的郵局,親身體驗一下登記過程,發現當中可能存在盜用他人身分證登記的漏洞。

    「智方便」有兩個版本:智方便和智方便+,兩者分別只在於後者包含數碼簽署功能,可用以網上處理法定文件和程序,例如續領車牌就要登記智方便+。

    政府提供了三種登記「智方便」的方式,分別是手機程式、自助登記站,和有真人處理的登記服務櫃位或流動登記隊,當中手機程式只能登記沒有數碼簽署的智方便版本,其他方式就可以登記智方便+。

    智方便手機程式讓用戶可以方便地透過手機登入政府和公私營機構服務,並且可以在安全情況下提供個人資料。
    智方便手機程式讓用戶可以方便地透過手機登入政府和公私營機構服務,並且可以在安全情況下提供個人資料。
    有些政府服務如續領車牌需要用到具備數碼簽署功能的智方便+服務。
    有些政府服務如續領車牌需要用到具備數碼簽署功能的智方便+服務。
    下載「智方便」手機程式

    櫃位登記過程操作未夠嚴謹

    筆者所採用的登記方式是郵局的登記服務櫃位,除了接受登記之外,還受理由智方便升級至智方便+,與及暫停智方便戶口手續。

    登記過程需要帶備身分證和具備生物認證的智能手機,手機需要事先安裝「智方便」程式。登記只接受 11 歲或以上人士,而 11-17 歲的申請人除了要有家長或監護人陪同之外,家長或監護人亦需先登記好智方便戶口,因為其實需要透過智方便來同意申請。

    在登記過程中,筆者發現有些步驟本來應該是由職員負責操作,但都任由筆者處理,例如沒有認真核對身分證上的照片與申請人容貌,容易發生盜用他人身分證去登記的問題。

    另外,由於用戶的個人資料會加密儲存在手機裡,登記過程需要用戶批准程式使用手機的生物認證功能。雖然如此,如果生物認證失敗,就可以使用一組 6 位數字密碼來登入。

    在自動登記站或登記服務櫃位登記按下面的按鈕可登記智方便+。
    在自動登記站或登記服務櫃位登記按下面的按鈕可登記智方便+。
    登記服務櫃位有一部以 LTE 連接網絡的平板電腦,筆者登記時職員任由筆者操作。
    登記服務櫃位有一部以 LTE 連接網絡的平板電腦,筆者登記時職員任由筆者操作。
    登記開始時先用「智方便」手機程式來掃描櫃位平板電腦上顯示的 QR Code ,以令手機程式與平板連動。
    登記開始時先用「智方便」手機程式來掃描櫃位平板電腦上顯示的 QR Code ,以令手機程式與平板連動。
    接著要將智能身分證插入櫃位平板電腦頂部的槽位,以讀取身分證資料,過程需要十多秒。
    接著要將智能身分證插入櫃位平板電腦頂部的槽位,以讀取身分證資料,過程需要十多秒。
    接著需要檢查身分證上的相片與申請人是否一致,不過這個步驗櫃位職員就任由筆者按剔掣作實,沒有嚴謹的核實。
    接著需要檢查身分證上的相片與申請人是否一致,不過這個步驗櫃位職員就任由筆者按剔掣作實,沒有嚴謹的核實。
    完成讀取身分證資料和容貌驗證之後,需要在 15 分鐘內在手機上完成這 4 項戶口設定,否則就要重頭再來。
    完成讀取身分證資料和容貌驗證之後,需要在 15 分鐘內在手機上完成這 4 項戶口設定,否則就要重頭再來。
    按下「驗證 Face ID 」的按鈕後,手機會要求用戶批准程式使用 Face ID 。
    按下「驗證 Face ID 」的按鈕後,手機會要求用戶批准程式使用 Face ID 。
    然後要設定一組 6 位數字密碼,以便在生物認證失敗時用作登入。
    然後要設定一組 6 位數字密碼,以便在生物認證失敗時用作登入。
    申請人需要提供電郵地址,並且需要在 15 分鐘內透過驗證電郵來核實該電郵的可用性。
    申請人需要提供電郵地址,並且需要在 15 分鐘內透過驗證電郵來核實該電郵的可用性。
    申請人填妥所有資料後,由職員核實後按剔掣確認完成登記。不過實測時卻任由筆者自行操作。
    申請人填妥所有資料後,由職員核實後按剔掣確認完成登記。不過實測時卻任由筆者自行操作。
    完成櫃位登記智方便+後,登入手機程式會顯示「具有數碼簽署功能」字樣。
    完成櫃位登記智方便+後,登入手機程式會顯示「具有數碼簽署功能」字樣。

    手機程式登記智方便

    透過「智方便」手機程式也可以隨時隨地登記智方便,不過就沒有數碼簽署功能。由於手機不能讀取智能身分證晶片的資料,所以是由申請人自行輸入資料的。驗證身分證方面,申請人需要按照手機程式的提示以不同角度為身分證拍照。筆者就發現這個過程很容易失敗而無法驗證,需要重覆多次才能成功。建議大家在光線較充足沒有倒影的地方進行拍攝。

    另外,手機登記也比櫃位登記多一次臉容辨識步驟,第一次拍攝是用以驗證真人,申請人在拍攝其實需要按指示轉動頭部和張開嘴巴。這個步驟中申請者不能有東西遮蓋面部,戴眼鏡也不可以。至於第二部就是 iPhone 本身的 Face ID 認證,相對自由得多。

    政府回應指臉容辨識所拍下的照片會上傳到伺服器上,與身分證上的照片作核對,完成後會即時刪除。

    申請者需要以手機程式從三個角度拍攝身分證,這個過程很容易失敗,最好在光線充足的地方拍攝。程式辨識身分證上資料後會自動填寫,不過亦發現會出現辨識錯誤問題,需要人手修正。
    申請者需要以手機程式從三個角度拍攝身分證,這個過程很容易失敗,最好在光線充足的地方拍攝。程式辨識身分證上資料後會自動填寫,不過亦發現會出現辨識錯誤問題,需要人手修正。
    手機登記需要進行兩次臉容辨識,第一次辨識時面部不能有物件遮擋,包括不能戴眼鏡。這個步驟的照片是會上傳到伺服器與身分證照片作比對的。
    手機登記需要進行兩次臉容辨識,第一次辨識時面部不能有物件遮擋,包括不能戴眼鏡。這個步驟的照片是會上傳到伺服器與身分證照片作比對的。

    網站登入要先授權

    現時有 20 多項政府服務和兩電一煤網上服務支持「智方便」的身分認證以至數碼簽署功能。不過要在這些服務上使用「智方便」功能,得先多做一個步驟,登入有關服務的網站如政府一站通或煤氣公司網站,將「智方便」戶口綁定網上服務戶口。

    「智方便」程式裡列出了支援服務和網站的連結,點擊這個箭頭就可以跳到有關網站,不過就尚未支援那些網站的手機程式如煤氣的手機程式。而這個轉跳動作是需要透過 verified.gov.hk 這個網站來進行的。
    「智方便」程式裡列出了支援服務和網站的連結,點擊這個箭頭就可以跳到有關網站,不過就尚未支援那些網站的手機程式如煤氣的手機程式。而這個轉跳動作是需要透過 verified.gov.hk 這個網站來進行的。
    進行「政府一站通」選擇用「智方便」登入的話,又會提示用戶網站需要用戶的個人資料,並要開啟「智方便」手機程式。雖然看起來很麻煩但步驟上還算清晰。
    進行「政府一站通」選擇用「智方便」登入的話,又會提示用戶網站需要用戶的個人資料,並要開啟「智方便」手機程式。雖然看起來很麻煩但步驟上還算清晰。
    回到「智方便」手機程式後會列出提供給「政府一站通」網站的資料。
    回到「智方便」手機程式後會列出提供給「政府一站通」網站的資料。
    確定後又會回到「政府一站通」網站那邊,網站亦會顯示會與哪一個帳戶進行綁定。
    確定後又會回到「政府一站通」網站那邊,網站亦會顯示會與哪一個帳戶進行綁定。
    綁定後就會立即登入。
    綁定後就會立即登入。
    其他第三方網站也需要先啟動智方便登入功能後才可以以智方便登入,不過就不需要從智方便提供個人資料。
    其他第三方網站也需要先啟動智方便登入功能後才可以以智方便登入,不過就不需要從智方便提供個人資料。
    在電腦瀏覽器以智方便登入的話,會先轉跳到智方便系統的網頁,用手機程式掃瞄 QR Code 來登入。智方便系統會按照 OAuth 2.0 程序在幕後與伺服器進行存取權標( Access Token )的交換。
    在電腦瀏覽器以智方便登入的話,會先轉跳到智方便系統的網頁,用手機程式掃瞄 QR Code 來登入。智方便系統會按照 OAuth 2.0 程序在幕後與伺服器進行存取權標( Access Token )的交換。

    保安程度不及密碼管理軟件

    對於市民對「智方便」私隱的關注,港府資科辦也有備而戰,昨日記者會上列出「智方便」手機程式各個權限的用途,大致上也符合 Android 系統的所列內容。

    資科辦在昨日的記者會上列出各限存取權限的用途,與 Google Play 列出的所需權限大致相同。
    資科辦在昨日的記者會上列出各限存取權限的用途,與 Google Play 列出的所需權限大致相同。

    雖然如此,筆者還是發現「智方便」有些地方需要改善。首要的問題是核實身分證與申請人方面,正如前文所述在櫃位登記有機會讓惡意分子盜用他人身分證來登記。

    另外,手機程式容許生物認證失敗之後可以 6 位數字密碼來登入,相對於一般密碼管理軟件要求不固定長度大小英數符號密碼,並且作強度驗證就顯得不夠嚴謹。幸好程式有 10 次輸入錯誤帳戶就失效的功能,仍算有一定保障。

    另一個問題是智方便程式一旦登入後就會長時間維持登入狀態,切換至其他程式後或者關閉手機(鎖屏)後切換回智方便程式也不再需要用生物認證登入,保安程度上就沒有密碼管理軟件常時上鎖那麼嚴謹。其實生物認證其中一個目的就是快速登入,所以即使切換程式時要再驗證其實也不算麻煩。

    雖然現時採用智方便登入的服務還未算很多,不過政府有意推動更多私營網上服務使用「智方便」,著實有必要加強保安。

    密碼管理軟件如 1Password 無論切換程式或鎖屏後都要重新認證,確保安全。在生物認證支持下認證過程也很快捷。
    密碼管理軟件如 1Password 無論切換程式或鎖屏後都要重新認證,確保安全。在生物認證支持下認證過程也很快捷。

    「智方便」手機程式在設計上綁定了一部手機,所以大家換機時要記緊做轉移操作。如果你認為沒有需要再使用智方便戶口,也可以透過手機註銷「智方便」戶口。

    智方便以加密的方式將個人資料儲存在手機裡。
    智方便以加密的方式將個人資料儲存在手機裡。
    換手機前記緊要將智方便戶口轉移至新手機。
    換手機前記緊要將智方便戶口轉移至新手機。

    【更新】政府回應本網有關手機程式登記時臉容辨識與核對用戶身分過程。

    您會感興趣的內容

    相關文章