身份认证的演变经历了按手印、支票签名,再到现在的安全密码认证、数字签名、生物识别等,身份认证技术的发展从来就没有停止过。
在互联网时代,身份认证是普通用户在访问各类应用的必经过程,而确保用户身份安全则是互联网业务开展的安全基石。
要在互联网数字世界中充分保障数字身份的安全,当然离不开大数据、人工智能等技术,而传统单一的身份认证方式已无法满足用户身份认证过程中对安全性、准确性、灵活性等方面的更高要求。因此,采用大数据、人工智能反欺诈技术在事前进行风险评估,依据风险评分值选择合适的多因子身份认证方式,并将不安全身份认证实施拦截。攻击者即使破解单一因子(如口令、人脸),用户的身份认证安全依然可以得到保障。
★★★ 什么是多因子身份认证
多因子身份认证的目的是建立一个多层次的防御体系,使未经授权的人访问计算机系统或网络更加困难。通过结合两个或三个独立的凭证:用户知道什么(知识型的身份验证),用户有什么(安全性令牌或者智能卡),用户是什么(生物识别验证)。单因素身份验证与之相比,只需要用户现有的知识。虽然密码口令身份验证很适合网站或者应用程序的访问,但是在网络在线金融交易方面还是不够安全。
目前常见的多因子身份认证主要有静态密码和动态密码组合认证,静态密码和面部识别组合认证,数字签名和短信密码组合认证等方式。多因子身份认证虽然增加了身份认证步骤,但利用多重身份认证,可以弥补由单一身份认证所引发的身份认证风险,最大程度保证了使用者的身份信息安全和网络信息安全。
★★★ 多因子身份认证技术应用
HUE多因子身份认证(Host USBKey Emulation Identity Authentication Component,简称HUE),除采用帐号密码体系、PKI体系、短信验证码、人脸识别技术之外,还运用设备指纹、时空码等技术,将设备、时间、空间、行为等因子引入到多因子身份认证当中。
→设备指纹是基于国际领先的网籍库技术,快速识别设备的软硬件属性和行为属性,为每台入网设备生成防假冒、唯一的设备ID,作为虚拟空间的“身份证”,形成开放式平台的隐形账号体系。
→时空码是一种安全可信的准硬件级别的动态多维码技术。通过动态算法、P2P校验等先进技术,融入时间、空间、硬件指纹等七重安全因子,有效防止偷拍、截屏、伪造、攻击等安全威胁,确保凭证安全和交易安全。
→人脸识别技术作为终端用户在移动设备上登录各业务系统并进行业务操作的身份认证方式之一。通过面部连续动作(转头、抬头、低头、眨眼)进行活体检测,人脸检测算法的检出率(被正确检测到的人脸样本数比上样本的总数)高。
HUE多因子身份认证整合前台应用保护、安全控件以及后台设备识别、风险控制等多项专利技术,实现开放环境下安全高效的身份认证。同时,通过数据挖掘与深度学习等人工智能技术的探索,能够对用户的认证行为、时间、空间、认证所涉及业务等信息进行深度地挖掘与分析,还能够智能并精准地识别一些恶意的认证动作,及时进行拦截,完全阻断黑客攻击与帐号盗取行,真正实现“智能化”风险防控。
★★★ 多因子身份认证应用场景
1.转账汇款/支付交易:用户输入转账账号密码后,强制要求用户进行二次身份认证,防止交易资金被盗取,造成重大损失。
2.管理授权:在业务系统中进行权限分配时,推送消息弹框到管理员绑定的设备上,进行授权确认,防止恶意分配权限,保障业务系统的安全。
3.用户登录:通过扫描动态二维码进行身份认证,实现快捷登录,防拍照、防伪造、防暴力破解。
4.信息修改:进行关键信息修改时,需用户进行身份认证,防范信息遭他人恶意篡改。
5.流程审批:在关键流程审批环节,需将关键审批信息回送至相应审批者的绑定设备上进行确认,有效防止越权审批。
6.资金提现:用户申请资金提现时,输入账号密码后,需进行二次身份认证,确保资金不被盗取或者冒领。
多因子身份认证产品支持移动端和PC端发起的认证服务业务应用场景,可广泛应用于银行、电子政务、军事、安防、第三方支付、O2O、电子商务、物流、云计算等行业。
★★★ 基于风险的身份认证
由于简单的密码和基本的数据保护方法已经不再那么有效,所以企业可以部署多因素身份验证、生物识别、带外PIN或者是语音回拨等技术来降低风险。但问题是大多数用户不想每次都接听电话或者输入PIN码来验证身份。对此,我们可以利用一个有趣的概念,即所谓的基于风险的身份验证,企业可以只在风险升高的时候才需要额外的身份验证步骤。
基于风险的身份验证系统旨在识别升高的身份验证风险。例如智能风控企业通付盾搭建的风险决策系统,也就是基于设备指纹、规则引擎、深度学习、风险数据、关系图谱等多项核心技术及资源的全方位业务风险防控平台。平台预置全行业风控模型,通过人工智能技术精准分析设备信息及用户业务,实时反馈业务风险,及时阻断欺诈操作; 同时客户可根据自身业务情况,有针对性调整风控策略,实现定制化风控建模。此外, 系统还配置了大数据关系图谱分析工具,联合全网风险数据进行关联分析,协助客户风控人员高效、全方位、深层次反欺诈。
在企业系统越来越多的暴露给外部用户以及威胁越来越复杂的情况下,密码所固有的方便性远不及它可能具有的风险。因此,许多企业都应该实施新的身份认证方法,以减轻访问控制和责任相关的风险。
转自微信公号【金融科技安全】
