作者介绍 @小玛 某金融公司风控分析师一枚; 专注风控多年,持续更新风控系列文章; “数据人创作者联盟”成员。 00 引言 上一篇【如何保护好账号01:保护好密码】介绍了密码的雷区以及相关的防范办法,这一篇我将从身份认证方式来讲,因为身份验证方式的出现主要是平台方为了确认账号使用方来自于本人,而非欺诈用户产生的校验机制,这就好比,大家上班进公司一般都会刷卡,这个卡就是上一篇介绍的密码,如果刚好今天你的穿着不得体,比如邋遢得像个不务正业的社会人员,保安就会在你刷卡后把你叫住,让你出示个证件或者报个诸如楼层和部门的信息,以确认你是本公司员工,保安的这种验证方式就是我今天要讲的身份认证方式。目前行业里普遍使用的身份认证方式有短信验证码和生物识别验证,而且根据风险的高低以及企业成本的控制呈现多种组合方式。接下来我将开始分享我对身份认证方式的理解,这篇文章的思路是:先分别对这两种身份认证方式做一个简述,再讲述行业保护这两种认证方式的解决方案,然后讲述作为普通人的我们应该如何保护好它们,最后是小结简述。 01 短信验证码 短信验证码的本质是校验用户在页面端输入的信息与后端存储的信息做一致性,从而确认用户的本人身份。这种身份认证方式最初是用于人机欺诈对抗,后来发现这种方式的用户体验更好,所以也逐步演化为登录的一种方式。总的来说,短信验证码现在通用的使用场景有两个: (1)作为替代密码的登录方式, (2)作为账号防盗的校验方式, 前者你可以理解为是另类的密码,后者可以理解为系统检测到了账号风险从而另加的一道身份认证,所以从以上信息就知道短信验证码对于我们账号安全的重要性了。这里讲一个之前遇到过一个被盗案例,受害者的账号密码已经被欺诈团伙通过李鬼公众号背后的代码截获,并且对方在真实的系统里登录成功,但因为转账时系统提示需要输入验证码,以作为本人操作的认证方式。因为这个案例里被害人不知道短信验证码的重要性,所以当欺诈团伙伪装为线上客服向受害者索要的时候,受害人没有任何防备,直接将验证码的内容告诉了对方,最终导致资金遭受重大损失。换句话说,以上这个案例里如果用户没有把验证码告知第三方,即使他们的账号被盗,但资金损失还是完全有可能避免,由此可见,短信验证码对我们的账号安全的重要性。 02 生物识别验证 这种验证方式是基于人体唯一性的一些特征比如人脸、指纹、虹膜、声纹等设计的验证方式,其本质是也是一种校验方式,通过将这些具有唯一性的生物特征采集下来,并进行数字编码降维转化,然后与后端存储的同类信息进行匹配,最终判断出是否匹配的结论。生物识别现在的使用场景很广,通常包括三类: (1)作为替代密码的登录方式, (2)作为账号防盗的校验方式, (3)作为特定类别用户的筛选方式, 第一种你可以理解为另类密码,第二种可以理解为系统检测到了账号风险从而另加的一道身份认证,第三种可以理解为为了满足安全管理需求而新增的一种查询方式。无论是哪种使用场景,其使用原理都基于其具有唯一性,换句话说,一旦这些特征被不法分子盗取,因为这些特征不具备可更改性,所以会在以上三个场景失效,间接影响账号安全。以人脸识别为例,它是目前使用最广泛的生物识别方式,无论是手机解锁、线上支付还是上班考勤打卡,都已经普遍使用。但与此同时,随着泛娱乐化的普及,我们的人脸照片或视频随处可寻,比如微信朋友圈,QQ相册、抖音视频、美图秀秀等,这些渠道正好可以为不法分子利用,举一个之前遇到的针对人脸盗窃的案例来说,欺诈分子的做法是先盗取受害人的人脸视频,然后利用AI合成技术实施换脸,再通过修改手机设备参数绕过风控检测,最终成功登录进入账号并实施盗取账户资金的目的。从这个案例我们不仅可以看出现在的欺诈团伙手段有多与时俱进,而且也可以看出保护人脸的重要性。 03 行业解决方案 验证码/生物识别验证如果只是作为另一种密码,一旦系统检测出异常,比如非可信设备登录、登录的网络环境异常,行业的通常做法是根据算法评估出来的风险等级增加其他验证方式,比如滑块验证码/图形验证码、安全问题、身份证件信息校验等等。如果作为防盗的校验方式,对于短信验证码,在用户不主动泄密给欺诈者的前提下,一般对短信验证码的保护方式有以下四种: (1)短信接口加密,防止恶意调用, (2)在点击验证码操作之前,增加滑块/图片/点选等验证码,防止机器操作, (3)在后台服务端增加对来自同一IP请求的验证码次数在单位时间范围内设置限制,防止暴力破解, (4)从业务层面对同一手机号码在单位时间范围内设置获取验证码次数的限制,防止短信轰炸或恶意破解。 如果是生物识别验证,由于国家网信办在2021年11月14日发布了《网络数据安全管理条例(征求意见稿)》,里面已经明确指出:“不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式。”所以目前行业都在对人脸识别做整改,将之前的单一的人脸识别验证改为多重因素共同验证,简单来说,在有人脸识别的同时还会有短信验证/滑块验证/密保问题等校验方式。但除此之外,行业也进一步出具了对人脸验证的保护机制: 加强活体检测,防止使用静态相片/合成视频/面具进行欺诈, 对手机设备环境进行检测,防止安装篡改插件进行欺诈, 强化人脸数据库的安全防护,防止拖库情况发生, 在人脸验证接口进行加密,防止恶意调用。 04 普通人的保护方案 1、短信验证码:作为最常见的验证方式,也是最容易保护的方式,保护方案其实很简单,就是不告诉任何人,这个也是行业普遍引导客户的做法,这里展示几个平台的验证码短信内容话术,红色部分就是引导话术: 2、生物识别验证:虽然现在有相关的法律规定在完善和规范生物识别验证的使用场景,但由于其技术易被破解,而且本身不像密码那样具有重置性,所以我这里给大家的保护建议有三点: 规避高敏感场景下的使用: 针对金融类账号、隐私类账号(上一篇提到),避免将生物识别验证尤其刷脸作为密码,比如支付密码、登录密码。 规避非正规APP上的使用: 如果必须使用生物识别比如刷脸服务,务必在正规应用市场下载,因为能在谷歌、安卓以及苹果市场上下载的APP,都经过严格的审核流程,这样可防止APP操作不当或者侵害用户隐私插件的风险。 规避其他隐私信息的同场景使用: 如果将自己的生物识别信息公布到公众平台,应避免其他隐私信息的同步曝光,比如证件号码、手机号码、家庭住址、家人隐私等,这里也包括打码的隐私类照片,防止有人恶意搜集,并通过逆向破解等技术看到全部内容,并用于冒用欺诈。 05 小结 以上就是我今天分享的内容,总结一下,这一篇讲了两种身份认证方式:短信验证码和生物识别验证,它们不仅是新技术发展下升级式的密码,也是保护账户被盗的防护手段,所以对于我们普通人来说,只要不泄漏就是在保护账号安全。此外,由于生物识别的技术仍极具被破解的风险,而每个人的脸/声音/虹膜/指纹等又基本具有唯一性,所以被破解后就不能再作为密码或防护手段,因此我们尽可能减少使用,如果有特定需求必须使用,要在正规平台里的正规场景里使用,且尽可能避免其他隐私信息的同时曝光。
发表评论 取消回复