??
傳統安全認證方式及其問題
之前有人說在互廠界環境噪聲聯網上,沒人知道你是一條狗,這種身份不確定性對于互聯網金融服務來說,是一個永遠的風險。網絡釣魚、木馬傳播、賬號竊取等帶來的盜用和欺詐都是這種風險的直接體現。
所以,就有了人們最熟悉的幾種安全認證手段:一是用戶所知道的東西,比如密碼;二是用戶所擁有的東西,比如數字證書、硬件盾。他們的本質都是,當支付服務接收到支付請求時,為了減低支付風險,服務端要先確認支付發起者的身份是合法的。
但以上兩種方法都會遇到一些障礙,比如密碼容易忘記,有些人所有應用都用同一個密碼,密碼還可能存在泄露的風險。這一點,2011年底的CSDN密碼泄露事件就給了所有人一個警示。
數字證書和硬件盾的問題在于,更換電腦或者重裝系統之后,電腦中沒有數字證書,用戶就會無法支付,而硬件盾可能丟失或者損壞,發生這種情況,用戶也會無法支付。這也是至今很多用戶都沒有選擇這些安全產品的原因。
第三種現在廣泛使用的安全認證方式是手機檢驗碼。用戶在電子商務網站、網上銀行或者第三方支付網站預留手機之后,就可以在需要進行身份確認時接收動態驗證碼。手機有良好的攜帶性、私密性,手機短信的達到率可以達到90%以上。因此手機短信動態驗證碼被電子銀行和第三方支付大量使用。
在手機短信驗證碼被大量使用之后,不法分子也開始針對性的展開攻勢。釣魚網站、電話的方式騙取驗證碼甚至成為一個黑色產業鏈,對電子商務環境造成很大的負面影響。
舉個真實的案例,
支付寶為了防止不法分子冒充工作人員向用戶騙取手機校驗碼,曾經在發送短信校驗碼的短信文案中明確寫到淘寶或支付寶工作人員不會向您索取短信校驗碼。有一次,一位用戶接到一位假客服的電話,假客服以幫她處理交易為由向她索取校驗碼,這位用戶跟假客服說,短信里面說了工作人員不會向我索取短信校驗碼的。假客服可能也是靈機一動,回答說,我不是淘寶和支付寶的,我是賣家。這位用戶就把校驗碼告訴假客服了。為此,支付寶只好更改了短信校驗碼的文案,明確說明任何索取短信校驗碼的行為均是詐騙行為。
即使這樣,用戶被騙取短信校驗碼的情況還是不能絕跡。因為這類非法騙取驗證碼的行為很多是有組織的實施,加上受害者的防范意識比較薄弱,成功騙取的概率始終是存在的。電子銀行和第三方支付想要很好的控制這種非法行為,存在很大的難度。
設備行為分析的優勢:你可以易容,但你的行為特征很難改變
答案是肯定的。不法分子可能通過各種方式掌握你的密碼,騙取你的校驗碼,但他要完全使自己的行為特征跟你相似,那就要難得多。就好像整容很容易,但要改變你的行為特征卻很難一樣。能夠通過這樣的數據化、技術化的手段去控制風險,這就是互聯網做安全的優勢。
事實上,通過對用戶支付行為的習慣數據進行分析來進行身份認證,可以很好的減少在支付過程中身份認證對用戶的打擾。
行為在一段時間之內形成規律,就好比某個人習慣用左手寫字。通過分析這聲波分析種行為習慣,就可以知道用戶的真實身份。
在網絡上,一個人能獲取到的設備是有限的,一般是辦公室電腦、家里電腦、手機等。如果在一個可信的設備上登錄系統,那么當前行為的可信度就較高。那么設備又是行為分析中的關鍵點。
我們可以給每個設備一個可信度,用戶的行為與設備進行關聯,每次用戶的行為都可以動態的改變可信度。
一次可信的、合法的行為會增加可信度,一次不可信的、非法的行為會減少可信度。而增加和減少的度,是通過一套復雜的模型,采用機器學習的方式獲得。這樣就圍繞設備形成一個閉環,輸入-處理-輸出-反饋。
除了可以改變用戶直接使用的設備的可信度,甚至還可以通過設備與設備之間的關聯關系動態改變設備的可信度。比如,用戶A使用手機A,使用聲波支付給用戶B的手機B轉賬1000塊,那么除了手機A的可信度提升,手機B的可信度也可以相應提升。分析設備直接的關系同樣也可以建立一套復雜的模型。
因為用戶網絡行為會映射到設備的操作行為,所以通過對設備可信度的分析,就可以知道行為的風險有多高。而且這個過程中,不需要用戶主動安裝數字證書或者硬件盾,不需要接收校驗碼,對用戶的體驗也會有明顯提升。
隨著移動互聯網興起,地理位置定位、加速度感應等成為主流智能手機的標準配置。智能設備上的傳感器,就好比人的五官,不斷的采集周圍環境的信息,這就為設備行為的分析提供更豐富的數據。這些智能化的設備散步在世界的每個角落,分分秒秒都在生產和傳輸信息;未來的挑戰,不是用于分析的數據不夠,而在于對如此龐大數據的儲存和分析能力。
通過設備行為分析的方式去控制風險,只是通過大數據的方法去進行風險控制的一種。在國外paypal就沒有數字證書、硬件盾這樣的安全產品,就是靠分析用戶與設備的行為去控制風險。中國的環境下,用戶對安全的要求更高,安全感也更差,之前國內領先的第三方支付公司更多還是采取安全產品、校驗碼這些用戶能夠明顯感知到的安全認證方式。但設備行為分析這樣的新方式也已經開始起步。
還是那句話,這個世界上沒有絕對意義上的安全,互聯網上也是如此。但不論是要降低風險發生率本身,還是要提升風控過程中的用戶體驗和效率,互聯網的方式、大數據的方式都要優于傳統方式,這就是時代進步的必然。大家既要看到問題,也要看到這樣更積極的一面。(來源:創事記;作者:章建軍;編選:中國電子商務研究中心)
之前有人說在互廠界環境噪聲聯網上,沒人知道你是一條狗,這種身份不確定性對于互聯網金融服務來說,是一個永遠的風險。網絡釣魚、木馬傳播、賬號竊取等帶來的盜用和欺詐都是這種風險的直接體現。
所以,就有了人們最熟悉的幾種安全認證手段:一是用戶所知道的東西,比如密碼;二是用戶所擁有的東西,比如數字證書、硬件盾。他們的本質都是,當支付服務接收到支付請求時,為了減低支付風險,服務端要先確認支付發起者的身份是合法的。
但以上兩種方法都會遇到一些障礙,比如密碼容易忘記,有些人所有應用都用同一個密碼,密碼還可能存在泄露的風險。這一點,2011年底的CSDN密碼泄露事件就給了所有人一個警示。
數字證書和硬件盾的問題在于,更換電腦或者重裝系統之后,電腦中沒有數字證書,用戶就會無法支付,而硬件盾可能丟失或者損壞,發生這種情況,用戶也會無法支付。這也是至今很多用戶都沒有選擇這些安全產品的原因。
第三種現在廣泛使用的安全認證方式是手機檢驗碼。用戶在電子商務網站、網上銀行或者第三方支付網站預留手機之后,就可以在需要進行身份確認時接收動態驗證碼。手機有良好的攜帶性、私密性,手機短信的達到率可以達到90%以上。因此手機短信動態驗證碼被電子銀行和第三方支付大量使用。
在手機短信驗證碼被大量使用之后,不法分子也開始針對性的展開攻勢。釣魚網站、電話的方式騙取驗證碼甚至成為一個黑色產業鏈,對電子商務環境造成很大的負面影響。
舉個真實的案例,
支付寶為了防止不法分子冒充工作人員向用戶騙取手機校驗碼,曾經在發送短信校驗碼的短信文案中明確寫到淘寶或支付寶工作人員不會向您索取短信校驗碼。有一次,一位用戶接到一位假客服的電話,假客服以幫她處理交易為由向她索取校驗碼,這位用戶跟假客服說,短信里面說了工作人員不會向我索取短信校驗碼的。假客服可能也是靈機一動,回答說,我不是淘寶和支付寶的,我是賣家。這位用戶就把校驗碼告訴假客服了。為此,支付寶只好更改了短信校驗碼的文案,明確說明任何索取短信校驗碼的行為均是詐騙行為。
即使這樣,用戶被騙取短信校驗碼的情況還是不能絕跡。因為這類非法騙取驗證碼的行為很多是有組織的實施,加上受害者的防范意識比較薄弱,成功騙取的概率始終是存在的。電子銀行和第三方支付想要很好的控制這種非法行為,存在很大的難度。
設備行為分析的優勢:你可以易容,但你的行為特征很難改變
答案是肯定的。不法分子可能通過各種方式掌握你的密碼,騙取你的校驗碼,但他要完全使自己的行為特征跟你相似,那就要難得多。就好像整容很容易,但要改變你的行為特征卻很難一樣。能夠通過這樣的數據化、技術化的手段去控制風險,這就是互聯網做安全的優勢。
事實上,通過對用戶支付行為的習慣數據進行分析來進行身份認證,可以很好的減少在支付過程中身份認證對用戶的打擾。
行為在一段時間之內形成規律,就好比某個人習慣用左手寫字。通過分析這聲波分析種行為習慣,就可以知道用戶的真實身份。
在網絡上,一個人能獲取到的設備是有限的,一般是辦公室電腦、家里電腦、手機等。如果在一個可信的設備上登錄系統,那么當前行為的可信度就較高。那么設備又是行為分析中的關鍵點。
我們可以給每個設備一個可信度,用戶的行為與設備進行關聯,每次用戶的行為都可以動態的改變可信度。
一次可信的、合法的行為會增加可信度,一次不可信的、非法的行為會減少可信度。而增加和減少的度,是通過一套復雜的模型,采用機器學習的方式獲得。這樣就圍繞設備形成一個閉環,輸入-處理-輸出-反饋。
除了可以改變用戶直接使用的設備的可信度,甚至還可以通過設備與設備之間的關聯關系動態改變設備的可信度。比如,用戶A使用手機A,使用聲波支付給用戶B的手機B轉賬1000塊,那么除了手機A的可信度提升,手機B的可信度也可以相應提升。分析設備直接的關系同樣也可以建立一套復雜的模型。
因為用戶網絡行為會映射到設備的操作行為,所以通過對設備可信度的分析,就可以知道行為的風險有多高。而且這個過程中,不需要用戶主動安裝數字證書或者硬件盾,不需要接收校驗碼,對用戶的體驗也會有明顯提升。
隨著移動互聯網興起,地理位置定位、加速度感應等成為主流智能手機的標準配置。智能設備上的傳感器,就好比人的五官,不斷的采集周圍環境的信息,這就為設備行為的分析提供更豐富的數據。這些智能化的設備散步在世界的每個角落,分分秒秒都在生產和傳輸信息;未來的挑戰,不是用于分析的數據不夠,而在于對如此龐大數據的儲存和分析能力。
通過設備行為分析的方式去控制風險,只是通過大數據的方法去進行風險控制的一種。在國外paypal就沒有數字證書、硬件盾這樣的安全產品,就是靠分析用戶與設備的行為去控制風險。中國的環境下,用戶對安全的要求更高,安全感也更差,之前國內領先的第三方支付公司更多還是采取安全產品、校驗碼這些用戶能夠明顯感知到的安全認證方式。但設備行為分析這樣的新方式也已經開始起步。
還是那句話,這個世界上沒有絕對意義上的安全,互聯網上也是如此。但不論是要降低風險發生率本身,還是要提升風控過程中的用戶體驗和效率,互聯網的方式、大數據的方式都要優于傳統方式,這就是時代進步的必然。大家既要看到問題,也要看到這樣更積極的一面。(來源:創事記;作者:章建軍;編選:中國電子商務研究中心)
本文章內容 來源于 百度知道 ,如侵犯原作者權益請及時聯系 2850832025@qq.com, 本網收到通知將在第一時間內刪除本篇內容
