喂,有沒有想過你在互聯網上的“身份證”是什么?更通俗地講,在互聯網中,什么能證明“你是你”?
當我們登錄一個銀行APP時,是不是只憑“用戶名+口令”就可以進行查詢和交易等一系列操作?顯然不是那么簡單,為什么?每年都有大量的網上賬號密碼等信息泄漏事件曝光,即使是大的在線服務商(12306、網易郵箱等)也不能幸免,銀行卡信息也不例外。
因此,除了用戶名密碼驗證,服務商會開啟第二道身份驗證程序,那就是短信驗證碼。
對的,現在回答開文我們提到的問題,“數字世界中,什么能證明你是你?”答案就是短信驗證碼,那個4或6位的數字。
本來,短信是一種漸漸被遺忘的通信方式,但現在這種傳統的數據通信業務逐漸改變了它原來所扮演的角色,成為了用戶名口令基礎之上的主流身份驗證方式,在安全行業被稱為雙因素認證。
可是,本文要強調的是,短信驗證碼它不安全、不安全、不安全……
短信驗證碼,它能代表誰?
為什么說短信驗證碼不安全,我們先來看看一個案例:
一年前,網絡瘋傳的《我與工行+10086的撕逼大戰》事件中,事主前后被盜轉賬萬余元,盜取資金的不法分子能夠成功的關鍵因素就是因為他獲得了用戶的短信驗證碼。入侵者利用事先獲得的事主運營商網上營業廳的賬號密碼,從其短信保管箱中偷走了短信驗證碼。有了銀行賬號密碼和短信驗證碼,入侵者輕松進行了資金盜轉。當然,此類事件并不孤立,還有入侵者利用運營商的線上自助換卡業務,拿到了手機卡的權限,后續的驗證碼獲取則不在話下。
不法分子想要偷取你的短信驗證碼,還有以下幾種方式:
· 通過手機木馬APP攔截短信驗證碼:本來有一些正版APP為了用戶體驗,采取自動讀取短信而省卻了用戶收到驗證碼等信息時需要手工輸入的麻煩。現在木馬通常也會偽裝在看起來很正常的手機軟件中,以進行攔截短信甚至刪除正常收到的短信內容。
· 通過空中接口攔截:這是一種更難以防范的方式,入侵者通過特殊的接收設備對手機信號進行干擾,并從基站廣播的空中接口截獲短信內容。
也許有人疑問,一直在強調短信驗證碼的風險,銀行卡密碼怎么會到了入侵者的手里?其實,開文也講了那個看不見的“黑市”。前幾個月的央視報道中,記者在地下黑市中很容易買了1000條銀行卡信息,包括姓名、身份證號、卡號、登錄密碼、交易密碼、銀行預留手機號等,在記者隨機對70條信息進行驗證時,其中65條信息全部正確。所以,千萬不要認為你的信息很安全,很多人“成套”的個人信息已經在地下黑色產業鏈中流轉。
有了用戶名密碼,有了短信驗證碼,“誰都可以是你”。事實證明,這種僵化和粗暴的身份驗證方式是靠不住的。
我們需要怎樣的安全身份認證?
其實第一代身份認證 “賬號+靜態密碼”仍然是一種普適性的方式,原因是它的靈活性足夠高,你只要能記住就可以了。但是它的安全級別非常低,易受拖庫撞庫、社會工程學、口令竊取等攻擊。這也是為什么包含這兩項敏感資料的信息能夠在黑市和地下產業鏈交易的重要原因。
身份認證技術演進
對于第二代身份認證也就是賬號密碼之上加短信驗證碼的方式,前面已經闡述很多,它是一種靈活性居中的簡單方案,并且使用廣泛,據運營商業內人士介紹,2015年中國短信驗證碼的市場規模已經達到了50億元。不過正如前文所解讀,它的安全性同樣特別低,易受短信驗證碼盜取攻擊。入侵者一旦拿到了短信驗證碼,他的后續一系列操作也意味著暢通無阻。
那么究竟有沒有一種真正安全的身份認證措施?答案是有的,那就是賬號密碼+U盾的方式,這可以被認為是第三代身份認證方式。它的安全級別高,不易被攻擊。
但是U盾是PC時代的產物,我們在電腦上操作網銀轉賬時,通常用到U盾,它可以保障安全交易。不過,現在是移動的時代,你能想象我們在登錄手機銀行APP操作時要隨身攜帶U盾嗎?顯然,它的使用體驗極差。
那么,到底有沒有一種兼顧安全性和靈活性的身份認證方式,這才是用戶所需要的。
如何實現兼顧安全和靈活的新一代身份認證?
有著U盾的安全性、有著賬號密碼的靈活性,能不能實現這樣的新一代身份認證?隨著云技術、大數據技術的發展,是不是該革新下安全身份認證技術,而不是還停留著十幾年前的安全體系。
近日,ZD至頂網記者注意到了北京芯盾時代科技有限公司提出的新一代身份認證體系,它主要解決三個問題:“手機設備安不安全?拿手機的人安不安全?干的事兒安不安全?”
芯盾時代創始人在接受我們的采訪時表示,芯盾時代幫助金融機構、政府、互聯網等各行各業建立安全認證體系,就是針對這三個環節去驗證“設備”、驗證“人”、驗證“行為”。
芯盾身份認證框架
落實在技術上,則是利用設備認證、生物認證、大數據風控等技術,對現有的身份驗證方式進行革新。
設備認證:確保用戶的安全設備在操作。芯盾根據手機設備的特性,提取設備的“DNA”進行識別。一是確保是合法的設備,例如它是一個真實手機而不是入侵者利用的模擬器,它有一個安全的系統環境而不是在攻擊框架下、沒有安裝惡意應用等;二是確保是用戶的設備,也就是要識別出用戶常用或綁定的設備、而不是入侵者改串號的設備。
生物認證:新驗證終端或終端判斷合法了,但終端前面的人呢?芯盾采用生物識別技術,基于人臉、聲紋、指紋來確定“人“是合法的,生物信息的驗證也就相當于銀行柜臺發“盾”的動作,在手機中為用戶發放了一個“數字身份憑證”。
大數據風控:不法分子的行為總有各類蛛絲馬跡。芯盾通過大數據行為分析,可以識別出惡意行為,及時提示風險。它是一項云服務,通過對當前設備及用戶行為的分析返回風控指數,引導用戶直接認證通過、進行二次認證、甚至阻斷操作。
芯盾身份認證核心要素
有了這些判斷,就可防范短信驗證碼丟失帶來的風險,即使用戶銀行卡信息已經泄露、短信驗證碼被不法分子截獲,該系統也能夠有效識別,確保其無法進行盜轉盜刷。
這種安全身份認證方式相當于有了一個“大腦”,不再是僵化和粗暴的比對認證,結合大數據分析讓它學會了思考。
同時重要的是,這些安全驗證的過程是在后端進行的,而不是拋給用戶在前端進行復雜的操作。在保障安全的同時,對用戶無感知。
寫在最后:
據不完全統計,2015年基于身份認證欺詐的黑色產業鏈規模已過千億,七成左右的網民個人身份信息和個人網上活動信息均遭到泄露。黑產像寄生蟲一樣吸附于企業,獲取高額利潤,同時摧毀了企業的正常業務。身份認證是業務的第一入口,也是業務安全的根基,需要通過芯盾時代這樣的創新技術,準確攔截用戶名密碼泄露、短信驗證碼盜取等各類風險、為用戶提供安全、免密、智能的身份認證服務。
存儲設備
2023年勒索軟件攻擊新趨勢
在線咨詢