52      2025        TAIWAN  SECURITIES  ASSOCIATION










               段的身分驗證進行分級與規範：800-63A 身分                        術與機制，包含單一因子、多因子 (MFA)、憑
               註冊與驗證 (Enrollment & Identity Proofing)：          證類型、生物特徵等，以及各自對應的強度等

               規範個人在申請數位身分帳號時所需的資料                             級 (Authenticator Assurance Levels, AAL)。
               驗證強度，例如使用政府核發證件、遠端影                             800-63C：聯邦身分驗證 (Federated Identity
               像比對等方式來確認身分真實性。800-63B                          & Assertions) 定義第三方驗證者如何將驗證結

               身分驗證與認證 (Authentication & Lifecycle             果轉交給服務提供者，確保跨平台驗證資訊的
                其他常見標準
               Management)：說明登入系統時所需的驗證技                       完整性與防偽機制，可參考表 1。

                NIST SP 800-63-3 Digital Identity Guidelines（美國國家標準）
               表 1 NIST SP 800-63-3 數位身分驗證指引 (TWCA 整理 )
                分類                                    說明

                                                      身分註冊與驗證（Enrollment & Identity Proofing)，規範個人
                IAL（Identity Assurance Level）
                                                      在申請數位身分帳號時所需的資料驗證強度
                                                      身分驗證與認證（Authentication & Lifecycle Management）：
                                                      說明登入系統時所需的驗證技術與機制，包含單一因子、多因
                AAL（Authenticator Assurance Level）
                                                      子（MFA）、憑證類型、生物特徵等，以及各自對應的強度等
                                                      級．
                                                      聯邦身份驗證,定義第三方驗證者如何將驗證結果轉交給服務
                FAL（Federation Assurance Level）
                                                      提供者，確保跨平台驗證資訊的完整性與防偽機制。

                                             以上每個類別均分三個等級




               三、 ISO/IEC 29115 個體身分驗證信賴                           用單因子驗證。

                     框架                                        3.  LoA 3：提供高信賴度，要求在註冊時進
                                                                   行嚴格的身分核實，並在登入時使用多因
                   國際標準化組織 (ISO) 制定的 ISO/IEC                       子驗證。

               29115 標準，提供了一套通用的「個體身分驗                         4.  LoA 4：提供極高信賴度，註冊時需親臨
               證信賴框架 (Entity Authentication Assurance              現場或採用同等強度的遠端驗證，並使用
               Framework)」。此標準的核心是將身分驗證                            基於硬體的強多因子驗證機制。通常用於

               的可信度劃分為三個階段，評估結果各分為四                                涉及國家安全或巨額資金移轉的場景，如：
               個等級，三階段中最低等級，視為該身分驗機                                線上證券開戶與交易應至少符合此等級。
               制的信賴等級 (Level of Assurance, LoA)，從                   對台灣證券業者而言，導入 LoA 框架有助

               LoA 1 ( 最低信賴 ) 到 LoA 4 ( 最高信賴 )，可               於將抽象的「風險」具象化。業者可依此標準，
               參考圖 1。                                          為不同的金融服務 ( 如查詢庫存、下單、變更

               1.  LoA 1：幾乎沒有或僅提供極低的身分信                        個資 ) 定義所需的最低 LoA 等級，並據此選擇
                   賴度，可能僅依賴自稱的身分資訊。                            合適的驗證技術，從而實現安全性與便利性的
               2.  LoA 2：提供中等信賴度，通常要求使用                        最佳平衡。

                   者提供某些能間接佐證身分的資訊，並採