提要:隨著科技的進(jìn)步,黑客的攻擊手段也層出不窮,導(dǎo)致金融行業(yè)存在的風(fēng)險越來越多。馮繼強(qiáng)認(rèn)為,這些風(fēng)險歸根結(jié)底其實還是身份認(rèn)證的問題。若是能夠確保只有用戶本人或合法可信的人執(zhí)行相關(guān)操作,移動金融支付的安全性問題也就迎刃而解。
4月13日,由中國金融集中采購網(wǎng)、金融科技創(chuàng)新學(xué)院聯(lián)合主辦的“2018中國金融科技創(chuàng)新發(fā)展論壇”在廣州成功舉辦。論壇邀請了近百位來自金融行業(yè)監(jiān)管機(jī)構(gòu)、銀行、保險、證券、互金企業(yè)的科技部、網(wǎng)絡(luò)金融部、風(fēng)險管理部的部門負(fù)責(zé)人,就金融科技創(chuàng)新發(fā)展、實踐,銀行風(fēng)險管理實踐、金融安全實踐等話題展開了熱烈討論。
錦佰安科技CEO馮繼強(qiáng)
國內(nèi)領(lǐng)先的身份識別綜合解決方案提供商——蘇州錦佰安信息技術(shù)有限公司,也受邀參加了本次論壇活動。在演講中,公司CEO馮繼強(qiáng)先生指出,目前主流的身份認(rèn)證方式存在極高的風(fēng)險,致使金融行業(yè)的安全事件頻發(fā)。隨著個人信息的重要性越來越高,黑客的攻擊手段也層出不窮。因為每個人操作手機(jī)的行為具有明顯差異性,依此即可精準(zhǔn)識別用戶,從而保證只有用戶本人或合法可信的人才能執(zhí)行相關(guān)操作。該觀點引起了與會人員的高度認(rèn)同。
金融行業(yè)安全事件頻發(fā)
近年來,關(guān)于銀行卡被盜刷的事件不勝枚舉。不法分子一般是在黑市上購買海量用戶信息,然后將這些數(shù)據(jù)篩選過濾后實施撞庫攻擊,以獲取賬戶和密碼,最后利用手機(jī)云端漏洞劫持短信驗證碼,完成轉(zhuǎn)賬,整個過程完全繞過受害人。這無疑使得現(xiàn)有的身份認(rèn)證方式形同虛設(shè)。
金融行業(yè)風(fēng)險評估
此外,不法分子還會通過山寨支付網(wǎng)銀類APP、釣魚網(wǎng)站、暴力破解、木馬病毒等其他手段竊取錢財,讓用戶防不勝防。
而對金融機(jī)構(gòu)來說,黑客入侵、群控操作等風(fēng)險同樣居高不下,令機(jī)構(gòu)本身及其用戶蒙受巨大的損失。
經(jīng)調(diào)查,絕大多數(shù)安全事件都與信息泄漏有關(guān),信息安全的重要性由此可見一斑。
風(fēng)險的本質(zhì):身份認(rèn)證問題
隨著科技的進(jìn)步,黑客的攻擊手段也層出不窮,導(dǎo)致金融行業(yè)存在的風(fēng)險越來越多。馮繼強(qiáng)認(rèn)為,這些風(fēng)險歸根結(jié)底其實還是身份認(rèn)證的問題。若是能夠確保只有用戶本人或合法可信的人執(zhí)行相關(guān)操作,移動金融支付的安全性問題也就迎刃而解。
靜態(tài)密碼、U盾等硬件設(shè)備、短信驗證碼等傳統(tǒng)認(rèn)證方式,根本談不上是身份認(rèn)證,因為它們只能保證賬號與密碼的匹配度,卻無法區(qū)別“人”的唯一性,在安全性上也不盡如人意。
近些年流行起來的生物識別一定程度上提升了便捷性,但在本質(zhì)上并未提升安全性。因為生物識別看似能利用個人生物特征來區(qū)別“人”的唯一性,但指紋的獲取成本極低,而人臉和聲音特征也都很容易被捕捉、復(fù)制。一旦被破解,我們也很難改變自己的生物特征。
那么,究竟有沒有真正安全、便捷的身份認(rèn)證手段呢?
無感知身份認(rèn)證是終極解決方案
馮繼強(qiáng)指出,用戶在操作手機(jī)的過程中,其行為特性都可以被手機(jī)傳感器收集到,經(jīng)分析,每個人的操作行為都具有明顯的差異性,這種差異性即可作為精準(zhǔn)識別用戶身份的依據(jù)。錦佰安科技自主研發(fā)的國內(nèi)首個基于行為進(jìn)行無感知身份識別的產(chǎn)品——SecID身份認(rèn)證系統(tǒng),即是于這一原理。
SecID通過手機(jī)中的多個傳感器,多維度、多規(guī)則地收集用戶日常登錄的操作行為和使用習(xí)慣,然后利用卷積神經(jīng)網(wǎng)絡(luò)、循環(huán)神經(jīng)網(wǎng)絡(luò)、貝葉斯網(wǎng)絡(luò)等方法,對這些特征進(jìn)行持續(xù)深度學(xué)習(xí),為每個用戶單獨建立識別模型,并與用戶本人進(jìn)行相似度匹配,即可對用戶身份進(jìn)行身份確認(rèn)。
通過這些核心技術(shù),一方面,SecID能有效分辨當(dāng)前操作者是人還是機(jī)器,避免了群控操作的風(fēng)險,便于金融機(jī)構(gòu)清洗機(jī)器與惡意用戶;
只有行為特征匹配度達(dá)到要求時,SecID才允許用戶進(jìn)行業(yè)務(wù)操作
另一方面,SecID還能準(zhǔn)確地分辨操作人是否為用戶本人。也就是說,當(dāng)用戶在移動支付應(yīng)用上執(zhí)行諸如注冊、登錄、轉(zhuǎn)賬等敏感操作時,SecID能根據(jù)用戶的操作行為來判斷其身份,只有當(dāng)匹配度達(dá)到要求時才予以通過,確保只有用戶本人才能進(jìn)行業(yè)務(wù)操作,即使密碼已經(jīng)泄漏,也能保證賬號的安全性。
值得一提的是,SecID對行為特征的整個采集、建模、驗證過程,都是在用戶無感知狀態(tài)下完成的。所以,該產(chǎn)品讓身份認(rèn)證真正變得無縫、自然、安全。
馮繼強(qiáng)總結(jié)道:“在人工智能時代,金融行業(yè)存在的風(fēng)險因子將會只增不減,在現(xiàn)有身份認(rèn)證技術(shù)無法保證安全性的情況下,基于AI行為識別的‘無感知’是未來身份認(rèn)證的趨勢。錦佰安科技愿與更多金融機(jī)構(gòu)加強(qiáng)合作,為金融行業(yè)的身份認(rèn)證安全保駕護(hù)航。”