喂,有沒有想過你在互聯(lián)網(wǎng)上的“身份證”是什么?更通俗地講,在互聯(lián)網(wǎng)中,什么能證明“你是你”?
當(dāng)我們登錄一個銀行APP時,是不是只憑“用戶名+口令”就可以進行查詢和交易等一系列操作?顯然不是那么簡單,為什么?每年都有大量的網(wǎng)上賬號密碼等信息泄漏事件曝光,即使是大的在線服務(wù)商(12306、網(wǎng)易郵箱等)也不能幸免,銀行卡信息也不例外。
因此,除了用戶名密碼驗證,服務(wù)商會開啟第二道身份驗證程序,那就是短信驗證碼。
對的,現(xiàn)在回答開文我們提到的問題,“數(shù)字世界中,什么能證明你是你?”答案就是短信驗證碼,那個4或6位的數(shù)字。
本來,短信是一種漸漸被遺忘的通信方式,但現(xiàn)在這種傳統(tǒng)的數(shù)據(jù)通信業(yè)務(wù)逐漸改變了它原來所扮演的角色,成為了用戶名口令基礎(chǔ)之上的主流身份驗證方式,在安全行業(yè)被稱為雙因素認證。
可是,本文要強調(diào)的是,短信驗證碼它不安全、不安全、不安全……
短信驗證碼,它能代表誰?
為什么說短信驗證碼不安全,我們先來看看一個案例:
一年前,網(wǎng)絡(luò)瘋傳的《我與工行+10086的撕逼大戰(zhàn)》事件中,事主前后被盜轉(zhuǎn)賬萬余元,盜取資金的不法分子能夠成功的關(guān)鍵因素就是因為他獲得了用戶的短信驗證碼。入侵者利用事先獲得的事主運營商網(wǎng)上營業(yè)廳的賬號密碼,從其短信保管箱中偷走了短信驗證碼。有了銀行賬號密碼和短信驗證碼,入侵者輕松進行了資金盜轉(zhuǎn)。當(dāng)然,此類事件并不孤立,還有入侵者利用運營商的線上自助換卡業(yè)務(wù),拿到了手機卡的權(quán)限,后續(xù)的驗證碼獲取則不在話下。
不法分子想要偷取你的短信驗證碼,還有以下幾種方式:
· 通過手機木馬APP攔截短信驗證碼:本來有一些正版APP為了用戶體驗,采取自動讀取短信而省卻了用戶收到驗證碼等信息時需要手工輸入的麻煩。現(xiàn)在木馬通常也會偽裝在看起來很正常的手機軟件中,以進行攔截短信甚至刪除正常收到的短信內(nèi)容。
· 通過空中接口攔截:這是一種更難以防范的方式,入侵者通過特殊的接收設(shè)備對手機信號進行干擾,并從基站廣播的空中接口截獲短信內(nèi)容。
也許有人疑問,一直在強調(diào)短信驗證碼的風(fēng)險,銀行卡密碼怎么會到了入侵者的手里?其實,開文也講了那個看不見的“黑市”。前幾個月的央視報道中,記者在地下黑市中很容易買了1000條銀行卡信息,包括姓名、身份證號、卡號、登錄密碼、交易密碼、銀行預(yù)留手機號等,在記者隨機對70條信息進行驗證時,其中65條信息全部正確。所以,千萬不要認為你的信息很安全,很多人“成套”的個人信息已經(jīng)在地下黑色產(chǎn)業(yè)鏈中流轉(zhuǎn)。
有了用戶名密碼,有了短信驗證碼,“誰都可以是你”。事實證明,這種僵化和粗暴的身份驗證方式是靠不住的。
我們需要怎樣的安全身份認證?
其實第一代身份認證 “賬號+靜態(tài)密碼”仍然是一種普適性的方式,原因是它的靈活性足夠高,你只要能記住就可以了。但是它的安全級別非常低,易受拖庫撞庫、社會工程學(xué)、口令竊取等攻擊。這也是為什么包含這兩項敏感資料的信息能夠在黑市和地下產(chǎn)業(yè)鏈交易的重要原因。
身份認證技術(shù)演進
對于第二代身份認證也就是賬號密碼之上加短信驗證碼的方式,前面已經(jīng)闡述很多,它是一種靈活性居中的簡單方案,并且使用廣泛,據(jù)運營商業(yè)內(nèi)人士介紹,2015年中國短信驗證碼的市場規(guī)模已經(jīng)達到了50億元。不過正如前文所解讀,它的安全性同樣特別低,易受短信驗證碼盜取攻擊。入侵者一旦拿到了短信驗證碼,他的后續(xù)一系列操作也意味著暢通無阻。
那么究竟有沒有一種真正安全的身份認證措施?答案是有的,那就是賬號密碼+U盾的方式,這可以被認為是第三代身份認證方式。它的安全級別高,不易被攻擊。
但是U盾是PC時代的產(chǎn)物,我們在電腦上操作網(wǎng)銀轉(zhuǎn)賬時,通常用到U盾,它可以保障安全交易。不過,現(xiàn)在是移動的時代,你能想象我們在登錄手機銀行APP操作時要隨身攜帶U盾嗎?顯然,它的使用體驗極差。
那么,到底有沒有一種兼顧安全性和靈活性的身份認證方式,這才是用戶所需要的。
如何實現(xiàn)兼顧安全和靈活的新一代身份認證?
有著U盾的安全性、有著賬號密碼的靈活性,能不能實現(xiàn)這樣的新一代身份認證?隨著云技術(shù)、大數(shù)據(jù)技術(shù)的發(fā)展,是不是該革新下安全身份認證技術(shù),而不是還停留著十幾年前的安全體系。
近日,ZD至頂網(wǎng)記者注意到了北京芯盾時代科技有限公司提出的新一代身份認證體系,它主要解決三個問題:“手機設(shè)備安不安全?拿手機的人安不安全?干的事兒安不安全?”
芯盾時代創(chuàng)始人在接受我們的采訪時表示,芯盾時代幫助金融機構(gòu)、政府、互聯(lián)網(wǎng)等各行各業(yè)建立安全認證體系,就是針對這三個環(huán)節(jié)去驗證“設(shè)備”、驗證“人”、驗證“行為”。
芯盾身份認證框架
落實在技術(shù)上,則是利用設(shè)備認證、生物認證、大數(shù)據(jù)風(fēng)控等技術(shù),對現(xiàn)有的身份驗證方式進行革新。
設(shè)備認證:確保用戶的安全設(shè)備在操作。芯盾根據(jù)手機設(shè)備的特性,提取設(shè)備的“DNA”進行識別。一是確保是合法的設(shè)備,例如它是一個真實手機而不是入侵者利用的模擬器,它有一個安全的系統(tǒng)環(huán)境而不是在攻擊框架下、沒有安裝惡意應(yīng)用等;二是確保是用戶的設(shè)備,也就是要識別出用戶常用或綁定的設(shè)備、而不是入侵者改串號的設(shè)備。
生物認證:新驗證終端或終端判斷合法了,但終端前面的人呢?芯盾采用生物識別技術(shù),基于人臉、聲紋、指紋來確定“人“是合法的,生物信息的驗證也就相當(dāng)于銀行柜臺發(fā)“盾”的動作,在手機中為用戶發(fā)放了一個“數(shù)字身份憑證”。
大數(shù)據(jù)風(fēng)控:不法分子的行為總有各類蛛絲馬跡。芯盾通過大數(shù)據(jù)行為分析,可以識別出惡意行為,及時提示風(fēng)險。它是一項云服務(wù),通過對當(dāng)前設(shè)備及用戶行為的分析返回風(fēng)控指數(shù),引導(dǎo)用戶直接認證通過、進行二次認證、甚至阻斷操作。
芯盾身份認證核心要素
有了這些判斷,就可防范短信驗證碼丟失帶來的風(fēng)險,即使用戶銀行卡信息已經(jīng)泄露、短信驗證碼被不法分子截獲,該系統(tǒng)也能夠有效識別,確保其無法進行盜轉(zhuǎn)盜刷。
這種安全身份認證方式相當(dāng)于有了一個“大腦”,不再是僵化和粗暴的比對認證,結(jié)合大數(shù)據(jù)分析讓它學(xué)會了思考。
同時重要的是,這些安全驗證的過程是在后端進行的,而不是拋給用戶在前端進行復(fù)雜的操作。在保障安全的同時,對用戶無感知。
寫在最后:
據(jù)不完全統(tǒng)計,2015年基于身份認證欺詐的黑色產(chǎn)業(yè)鏈規(guī)模已過千億,七成左右的網(wǎng)民個人身份信息和個人網(wǎng)上活動信息均遭到泄露。黑產(chǎn)像寄生蟲一樣吸附于企業(yè),獲取高額利潤,同時摧毀了企業(yè)的正常業(yè)務(wù)。身份認證是業(yè)務(wù)的第一入口,也是業(yè)務(wù)安全的根基,需要通過芯盾時代這樣的創(chuàng)新技術(shù),準(zhǔn)確攔截用戶名密碼泄露、短信驗證碼盜取等各類風(fēng)險、為用戶提供安全、免密、智能的身份認證服務(wù)。