5月24日,北京市民马女士称,她的银行卡可能被人盗刷了。马女士说,她从未进行过任何理财,也很少动用银行卡,但在5月10日查询账户时却发现蒸发了8000元钱。
银行初步调查后表示:“这是网络支付,如果客户的密码比较容易破解,有可能会被盗刷。”
从银行的说辞中,似乎问题在于马女士将密码设置得容易破解。但是进一步想,即使她将密码设置得比较复杂,难道就没有被盗刷的风险了吗?答案显然是否定的。
我们知道,黑客窃取密码的手段非常多。马女士密码丢失的途径也有很多种可能,比如在银行卡支付时被他人恶意获取,再比如不法分子通过山寨支付网银类APP、钓鱼、暴力破解、木马病毒等等,也都能轻松窃取账号密码信息,盗取账户资金。
另外,很多互联网金融应用为了充分整合外部资源,将API对外开放,也很容易导致用户数据被第三方公司掌握与使用。
主流身份认证问题
可以看出,不法分子窃取用户银行账户资金,本质上还是通过窃取、冒用身份来实现的。
按理来说,当一个人的账户资金发生变化时,都应该由本人或授权人进行确认,相关平台应该具有识别操作者真实身份的能力。但现有的身份认证方式能否达到这个目的呢?
目前最流行的身份认证方式是静态密码+短信验证码。而短信验证码存在易被劫持、使用不方便、无法识别人机等问题,安全性自然十分堪忧。
当然,也有更安全的认证手段,比如U盾等硬件设备,但是这显然不适合移动支付场景。
因此,银行、支付平台、网购平台等,一方面应该提醒用户使用复杂口令、杜绝复用口令,另一方面还应该改进现有的身份认证方式,确保能够识别用户本人,这才是根本的解决办法。
安全性更高的二次身份确认
相较于短信验证码,锦佰安科技推出的SecID多因素身份认证,则能本质提升二次身份确认的安全性。
应用SecID多因素身份认证时,在二次身份认证环节中,原业务系统(比如网络支付平台业务系统)的服务器及客户端之间、原业务系统的服务器与SecID认证服务器之间、以及SecID认证服务器和SecID客户端之间,都采用了可信的加密安全通道,三方可信安全通道结合用户的主动发起行为,共同保证了一次操作的安全校验,任何一方出现纰漏都无法通过校验流程,即使不法分子窃取了用户密码或者伪造SecID客户端,都无法实现完整校验,从而有效防止认证过程被劫持。
同时,SecID多因素身份认证系统提供人脸识别、指纹识别、图片密码、一键确认、OTP动态口令等身份识别解决方案,用户可以根据使用场景按需选择。
AI行为识别是大势所趋
有研究表明,每个人的行为特征都是独一无二、不可复制的,在操作手机时,不同人之间的行为特征也具有明显的差异性,这种差异性即可做为精确识别用户身份的依据。
基于这一原理,锦佰安科技自主研发出了国内首个基于AI行为无感知身份识别的产品——SecID AI行为识别身份认证系统。
SecID通过手机传感器,多维度、多规则地收集用户日常登录系统的操作行为和使用习惯,然后基于卷积神经网络和循环神经网络等技术,在用户无感知状态下持续深度学习其行为特征并建立独立且唯一的识别模型,再与用户本人进行相似度匹配,即可对用户身份进行精准确认。
通过这些核心技术,SecID不仅能有效进行人机识别,而且还能准确分辨操作人是否为用户本人。也就是说,当用户在移动支付应用上执行诸如注册、登录、转账等敏感操作时,SecID能根据用户的操作行为来判断其身份,只有当匹配度达到要求时才予以通过,确保只有用户本人才能进行业务操作,即使密码已经泄漏,也能保证账号的安全性。
值得一提的是,SecID对行为特征的整个采集、建模、验证过程,都是在用户无感知状态下完成的。所以,该产品让身份认证真正变得无缝、自然、安全。
结 语
随着技术的进步,黑客窃取用户银行账户资金的手段也层出不穷。在以往的身份认证方式不够安全和便捷的情况下,相关机构有必要积极拥抱新技术,用AI行为识别本质提升用户的账户安全,确保只有用户本人才能执行相关操作,从而有效防止不法分子冒用身份窃取钱财。
643
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
