你的手机支付真的那么安全么,别到时被盗了都不知道

  1. 云栖社区>
  2. 云栖号资讯>
  3. 博客>
  4. 正文

你的手机支付真的那么安全么,别到时被盗了都不知道

云栖号资讯小编 2020-01-16 18:18:00 浏览384
展开阅读全文

云栖号:https://yqh.aliyun.com
第一手的上云资讯,不同行业精选的上云企业案例库,基于众多成功案例萃取而成的最佳实践,助力您上云决策!

1 手机支付

image


手机正在成为在保护在线银行和其他基于Web的金融交易免遭迅速发展的安全威胁的新型多因素身份验证方案中的关键要素之一。目前除了传统的用户名/密码之外的多层安全控制措施,尤其是带外身份验证方法。专门适用于银行,信用合作社,抵押贷款人以及储蓄和贷款,但是从事在线金融交易的每个组织,例如购物门户网站,信用卡公司,在线账单支付等。

当今的黑客库中的主要武器之一是密码网络钓鱼。在这种情况下,黑客使用网络钓鱼电子邮件来窃取在线银行凭据并闯入用户帐户。对此,银行和其他金融机构已部署了设备识别,质询问题和一次性密码令牌等技术。分析师强调,登录ID和密码不再足够。预先选择的图像,挑战性问题,设备信息和设备信誉都是有效的第二因素验证者。

2 身份验证

image

许多“带内”身份验证方法的问题在于设备本身可能已感染了恶意软件。另外,还有更高级的威胁,例如键盘记录器,浏览器中的人和中间人攻击,它们需要更加复杂的安全措施。

实际上,每种身份验证技术都可能遭到破坏或规避。身份验证比传统密码更好,可以最大程度地减少网络钓鱼等“快速且肮脏”攻击的风险,但是寻求更高级别的验证工具的局限性攻击者将转向MITB攻击,该攻击劫持了已通过身份验证的会话,有效地绕过了身份验证,从而操纵了交易明细或插入了虚假交易。

3 如何确保安全

image

有两种先进技术可以有效地抵抗当前的各种攻击:Web欺诈检测和事务验证。Web欺诈检测评估有关用户连接性的上下文信息(端点身份,地理位置等),并查找异常的交易行为(与用户历史记录和其他用户相比;例如,多个用户向该用户进行了转移)相同的新帐户。

交易验证使用多种技术来确认银行接收的交易详细信息源自用户,并且符合用户的意图。FFIEC指南中概述的通过带外方法进行交互式交易确认对桌面浏览器会话有效,并且可能是最有吸引力的选择。

当然,还有更强大的安全方法-带PIN垫的OTP一次性密码硬件令牌和EMV支付卡读取器但是,银行抵制了客户对此类类型的抵制安防措施。基于风险的身份验证的一个示例是CA,这是一种复杂的工具,它结合了基于对交易和欺诈数据的统计分析的分析欺诈模型。风险评分决定了对给定交易采取何种措施,例如需要采取更高级别的身份验证。在这种情况下,基于风险的身份验证与强身份验证协同工作。如果交易看起来可疑,则可以调用身份验证的另一个因素来“增强”身份验证和安全性。

4 人工干预

image

基于电话的身份验证正在迅速成为选择的方法。这些系统利用用户的电话作为可信任的设备来进行第二次身份验证。电话极难复制,电话号码极难拦截。电话和用户名与密码的组合产生了强大的多因素身份验证。对用户体验的影响最小。用户可以选择他们喜欢的任何身份验证方法,例如电话或短信,所有这些解决方案都提供相同级别的带外安全性和便利性。其他安全性功能包括PIN模式,声纹和交易验证,可以映射到特定用户和/或风险级别。'

置信技术公司的一项聪明的新技术使用触摸屏手机上的图像进行身份验证。与向用户的手机发送一次性文本消息密码的多因素身份验证过程不同,该技术通过在基于图像的身份验证挑战中对一次性密码进行加密,从而提供了安全的第二因素。当触发身份验证要求时,用户会在电话屏幕上识别出与之前选择的机密类别相匹配的图片,如果用户预先选择了称为汽车,食物和狗的类别,则会显示12张左右的图像网格,其中包含各种图像,其中三幅符合其类别,例如克尔维特,汉堡包和小猎犬通过正确识别符合其秘密身份验证类别的图片,用户实质上是在重新组合在这些图片中加密的一次性密码,重要的是,该过程仍完全脱离Web会话。

5 全新生物识别

image

每次显示的特定图像都不相同,但是用户的类别始终保持不变。 这使得其他人很难确定用户的秘密类别。即使其他人拥有了手机或拦截了通信,他们也将无法进行身份验证,因为一次性密码已在图像中加密。生物识别包括身份验证属性,例如面部识别,指纹识别,手部几何生物识别,视网膜扫描,虹膜扫描,数字签名和语音分析。不确定生物识别技术是否被认为是新技术,但肯定会得到改进,就人们的兴趣而言,这是一个起伏不定的领域。在移动领域引起关注的最新生物识别技术是面部识别。这对我们随身携带的设备有很大的希望,这些设备的物理键盘有限,并且经常需要在执行多任务处理时可以访问,

语音识别,人脸形貌和虹膜结构是新兴技术,当大家可以将用户的手机用作捕获设备时,它们看起来也很有吸引力。这些技术大多数都是相对被动和不引人注目的,从而提供了良好的用户体验。许多公司正在尝试将生物识别技术作为附加安全层。安全行业的每个人都知道,没有完美的答案。 Gartner的艾伦(Allan)指出:“无论要达到何种理想的保证水平,都必须在成本(对成千上万用户的部署非常敏感)和用户体验之间进行权衡。我们知道,如果新的安全功能出现,银行客户可能会改变他们的银行例如身份验证会降低用户体验:几年前的一项调查中,Gartner发现3%的客户这样做了,另有12%的客户认为这样做。”

云栖号:https://yqh.aliyun.com
第一手的上云资讯,不同行业精选的上云企业案例库,基于众多成功案例萃取而成的最佳实践,助力您上云决策!

原文发布时间:2020-1-15
本文作者:Steven博
本文来自阿里云云栖号合作伙伴“Steven博”,了解相关信息可以关注“Steven博

网友评论

登录后评论
0/500
评论
云栖号资讯小编
+ 关注
所属团队号: 云栖号资讯