|
昨天,我們談到短信驗證碼作為登錄網(wǎng)銀APP進行交易的身份驗證措施并不安全(http://toutiao.com/i6305912997575393793/)����,那到底該需要怎樣的安全身份認證? 如果第一代身份認證是“賬號 靜態(tài)密碼”的方式�����,那么第二代則是“賬號密碼 短信驗證碼”���,其實賬號 靜態(tài)密碼仍然是一種普適性的身份認證方式�����,它對于非關鍵和敏感在線業(yè)務來說最常用���,原因是它的靈活性足夠高,你只要能記住這個用戶名和密碼就可以了�。但是它的安全級別非常低,易受拖庫撞庫�����、社會工程學��、口令竊取等攻擊。這也是為什么包含這兩項敏感資料的信息能夠在黑市和地下產(chǎn)業(yè)鏈交易的重要原因�����。 
身份認證技術演進 對于第二代身份認證也就是賬號密碼之上加短信驗證碼的方式�����,前面已經(jīng)闡述很多�����,它是一種靈活性居中的簡單方案��,并且使用廣泛����,據(jù)運營商業(yè)內(nèi)人士介紹,2015年中國短信驗證碼的市場規(guī)模已經(jīng)達到了50億元���。不過正如前文所解讀���,它的安全性同樣特別低,易受短信驗證碼盜取攻擊����。最可怕的是在在線銀行等服務機構(gòu)的設計中,黑客一旦拿到了短信驗證碼��,也就等于突破了他們所設置的安全防線���,憑借短信驗證碼��,黑客的行為就等同于被攻擊者本人�����,一系列操作也暢通無阻���。 那么究竟有沒有一種真正安全的身份認證措施?答案是有的��,那就是賬號密碼 U盾或令牌����、電子密碼器的方式�����,這可以被認為是第三代身份認證方式�。它的安全級別高���,不敢說絕對安全��,但至少目前還沒有發(fā)生過U盾被突破的案例�,也就是說它可以抵御現(xiàn)有攻擊�����。 但是U盾令牌的方式是PC時代的產(chǎn)物�����,也就是說我們在電腦上操作網(wǎng)銀轉(zhuǎn)賬等業(yè)務時�����,通常用到U盾�����,它可以保障安全交易。不過��,現(xiàn)在是移動的時代����,你能想象我們在登錄手機銀行APP操作時要隨身攜帶U盾嗎����?顯然,它的使用體驗極差�,說小了這違背移動互聯(lián)網(wǎng)精神,說大了這和時代發(fā)展相悖�����。 那么�,到底有沒有一種兼顧安全性和靈活性的身份認證方式,這才是用戶所需要的�。 如何實現(xiàn)兼顧安全和靈活的新一代身份認證? 有著U盾的安全性���、有著賬號密碼的靈活性��,能不能實現(xiàn)這樣的新一代身份認證����?隨著云技術、大數(shù)據(jù)技術的發(fā)展�����,是不是該革新下安全身份認證技術了�����,而不是還停留著十幾年前的安全體系��。 近日�����,ZD至頂網(wǎng)記者注意到了北京芯盾時代科技有限公司提出的新一代身份認證體系�����,它提出的手機身份認證理念去解決三個問題:“手機設備安不安全�����?拿手機的人安不安全?干的事兒安不安全�����?” 解決了這三個環(huán)節(jié)問題也就相當于用戶去銀行網(wǎng)點柜臺辦理業(yè)務時達到的安全性���,芯盾時代創(chuàng)始人在接受我們的采訪時表示,芯盾時代幫助金融機構(gòu)建立安全認證系統(tǒng)干的事情就是針對這三個環(huán)節(jié)去驗證“設備”����、驗證“人”、驗證“行為”��。 
芯盾身份認證框架 落實在技術上���,則是利用設備認證��、生物認證�����、大數(shù)據(jù)風控等技術�����,對現(xiàn)有的身份驗證方式進行革新����。 設備認證:確保用戶的安全設備在操作。芯盾根據(jù)手機設備的特性�,提取設備的“DNA”進行識別。一是確保是合法的設備��,例如它是一個真實手機而不是黑客利用的模擬器��,它有一個安全的系統(tǒng)環(huán)境而不是在攻擊框架下�、沒有安裝惡意應用、沒有收到偽基站信息等�;二是確保是用戶的設備,也就是要識別出用戶常用或綁定的設備�、而不是黑客改串號的設備。 生物認證:新驗證終端或終端判斷合法了�����,但終端前面的人呢���?芯盾采用生物識別技術�,基于人臉、聲紋�、指紋來確定“人“是合法的,生物指紋的驗證也就相當于銀行柜臺發(fā)“盾”的動作����,在手機中為用戶發(fā)放了一個“數(shù)字身份證”。 大數(shù)據(jù)風控:不法分子的行為與正常用戶的消費行為總是能找出各類蛛絲馬跡���。芯盾通過大數(shù)據(jù)行為分析�,可以識別出惡意行為����,及時提示風險�����。它是一項云服務���,返回的是風控分數(shù)或等級�����,根據(jù)這個風控指數(shù)判斷使用者是直接登錄����、還是對認證技術手段提供有效的補充、甚至阻斷操作�����。 
芯盾身份認證核心要素 所以��,有了這些判斷�,它可防范短信驗證碼攔截帶來的風險,即使用戶銀行卡信息已經(jīng)泄露��、短信驗證碼被不法分子截獲���,該系統(tǒng)也能夠有效識別�����,確保其無法進行盜轉(zhuǎn)盜刷�。 這種安全身份認證方式相當于有了一個“大腦”�����,不再是僵化和粗暴的,結(jié)合大數(shù)據(jù)分析讓它學會了思考�。 同時重要的是,這些安全驗證的過程是在后端進行的�����,而不是拋給用戶在前端進行復雜的操作����。在保障安全的同時,對用戶無感知��。 寫在最后: 在本文即將截稿之際��,我們了解到銀監(jiān)會向國內(nèi)股份制銀行���、城商行發(fā)布了一個加強手機交易安全的通知,其中明確提到了要求金融機構(gòu)在手機銀行交易時使用手機綁定����、短信加密、安全大數(shù)據(jù)等交易安全輔助手段���,目前只有芯盾時代公開支持全部三種安全技術要求���,其余廠商由于網(wǎng)站未更新�,尚無法進行統(tǒng)計���,預計這三個安全指標將成為移動安全領域新的風向標���。
|
