|
昨天,我们谈到短信验证码作为登录网银APP进行交易的身份验证措施并不安全(http://toutiao.com/i6305912997575393793/),那到底该需要怎样的安全身份认证? 如果第一代身份认证是“账号 静态密码”的方式,那么第二代则是“账号密码 短信验证码”,其实账号 静态密码仍然是一种普适性的身份认证方式,它对于非关键和敏感在线业务来说最常用,原因是它的灵活性足够高,你只要能记住这个用户名和密码就可以了。但是它的安全级别非常低,易受拖库撞库、社会工程学、口令窃取等攻击。这也是为什么包含这两项敏感资料的信息能够在黑市和地下产业链交易的重要原因。 身份认证技术演进 对于第二代身份认证也就是账号密码之上加短信验证码的方式,前面已经阐述很多,它是一种灵活性居中的简单方案,并且使用广泛,据运营商业内人士介绍,2015年中国短信验证码的市场规模已经达到了50亿元。不过正如前文所解读,它的安全性同样特别低,易受短信验证码盗取攻击。最可怕的是在在线银行等服务机构的设计中,黑客一旦拿到了短信验证码,也就等于突破了他们所设置的安全防线,凭借短信验证码,黑客的行为就等同于被攻击者本人,一系列操作也畅通无阻。 那么究竟有没有一种真正安全的身份认证措施?答案是有的,那就是账号密码 U盾或令牌、电子密码器的方式,这可以被认为是第三代身份认证方式。它的安全级别高,不敢说绝对安全,但至少目前还没有发生过U盾被突破的案例,也就是说它可以抵御现有攻击。 但是U盾令牌的方式是PC时代的产物,也就是说我们在电脑上操作网银转账等业务时,通常用到U盾,它可以保障安全交易。不过,现在是移动的时代,你能想象我们在登录手机银行APP操作时要随身携带U盾吗?显然,它的使用体验极差,说小了这违背移动互联网精神,说大了这和时代发展相悖。 那么,到底有没有一种兼顾安全性和灵活性的身份认证方式,这才是用户所需要的。 如何实现兼顾安全和灵活的新一代身份认证? 有着U盾的安全性、有着账号密码的灵活性,能不能实现这样的新一代身份认证?随着云技术、大数据技术的发展,是不是该革新下安全身份认证技术了,而不是还停留着十几年前的安全体系。 近日,ZD至顶网记者注意到了北京芯盾时代科技有限公司提出的新一代身份认证体系,它提出的手机身份认证理念去解决三个问题:“手机设备安不安全?拿手机的人安不安全?干的事儿安不安全?” 解决了这三个环节问题也就相当于用户去银行网点柜台办理业务时达到的安全性,芯盾时代创始人在接受我们的采访时表示,芯盾时代帮助金融机构建立安全认证系统干的事情就是针对这三个环节去验证“设备”、验证“人”、验证“行为”。 芯盾身份认证框架 落实在技术上,则是利用设备认证、生物认证、大数据风控等技术,对现有的身份验证方式进行革新。 设备认证:确保用户的安全设备在操作。芯盾根据手机设备的特性,提取设备的“DNA”进行识别。一是确保是合法的设备,例如它是一个真实手机而不是黑客利用的模拟器,它有一个安全的系统环境而不是在攻击框架下、没有安装恶意应用、没有收到伪基站信息等;二是确保是用户的设备,也就是要识别出用户常用或绑定的设备、而不是黑客改串号的设备。 生物认证:新验证终端或终端判断合法了,但终端前面的人呢?芯盾采用生物识别技术,基于人脸、声纹、指纹来确定“人“是合法的,生物指纹的验证也就相当于银行柜台发“盾”的动作,在手机中为用户发放了一个“数字身份证”。 大数据风控:不法分子的行为与正常用户的消费行为总是能找出各类蛛丝马迹。芯盾通过大数据行为分析,可以识别出恶意行为,及时提示风险。它是一项云服务,返回的是风控分数或等级,根据这个风控指数判断使用者是直接登录、还是对认证技术手段提供有效的补充、甚至阻断操作。 芯盾身份认证核心要素 所以,有了这些判断,它可防范短信验证码拦截带来的风险,即使用户银行卡信息已经泄露、短信验证码被不法分子截获,该系统也能够有效识别,确保其无法进行盗转盗刷。 这种安全身份认证方式相当于有了一个“大脑”,不再是僵化和粗暴的,结合大数据分析让它学会了思考。 同时重要的是,这些安全验证的过程是在后端进行的,而不是抛给用户在前端进行复杂的操作。在保障安全的同时,对用户无感知。 写在最后: 在本文即将截稿之际,我们了解到银监会向国内股份制银行、城商行发布了一个加强手机交易安全的通知,其中明确提到了要求金融机构在手机银行交易时使用手机绑定、短信加密、安全大数据等交易安全辅助手段,目前只有芯盾时代公开支持全部三种安全技术要求,其余厂商由于网站未更新,尚无法进行统计,预计这三个安全指标将成为移动安全领域新的风向标。 |
|
|
