隐形的密码:基于用户行为特征的可信身份认证


来源:移动支付网    作者:伟辰    2018-11-2 9:05

随着互联网技术的快速发展,电子商务和互联网金融的兴起,带来了前所未有的方便体验。与此同时,人们也拥有了数字世界的我与现实世界的我两种身份。金融业务涉及大量的敏感信息,可信的身份认证是业务安全的基础,如何证明“我是我”变得前所未有的重要。

现有身份认证技术存在不足

为了证明“我是我”,现行的主流身份认证手段有两种,一是基于密码的身份认证技术,包括基于共享密钥的身份验证、基于公开密钥加密算法的身份验证,二是基于生物学特征的身份认证,包括我们平时经常使用的指纹识别、人脸识别,还有不经常接触到的虹膜识别、静脉识别。

无论是基于密钥的身份验证还是基于生物学特征的身份认证,都属于一次识别或静态识别,也就是一旦识别通过,就不再关注当前操作者是否为用户本人,若不是用户本人则有可能造成敏感数据泄露甚至造成财务损失。

今年1月15日,张某在北京市通州区某广场地下一层烧饼店内将谢某手机借走,后未归还。两天后,她通过修改谢某手机支付密码,多次消费共计9990余元,1月20日,张某被抓获归案。

除了安全风险之外,现在常见的动态口令认证、USB Key认证、指纹认证、虹膜认证等方式或多或少存在着一些问题,比如依赖特定硬件、只能进行一次验证,无法持续保护等等,在日益复杂的应用场景和安全环境当中已经略显不足。

隐形密码保护安全

随着AI(人工智能)技术的发展,基于用户行为特征的身份认证技术正在成为现实。

用户行为特征像是隐形的密码,它不像是密码或者指纹,密码可能会泄露,指纹可能会被盗取,但是行为特征很难被盗取,重要的是哪怕行为特征被收集,也很难被利用,想要模仿一个人的行为特征几乎是不可能的任务。

基于用户行为特征的身份认证有很多优点,它是一个完全后台的程序,整个收集数据和验证的过程不需要用户自己进行任何操作,对用户十分友好。

它不需要复杂的硬件支持,只需要手机有重力加速度传感器和触摸屏就可以进行认证,中低端设备也可以使用。

它作为手机的第二道安全防线,不和其它认证方式冲突,可以同时使用其它手机安全软件或给手机设置密码,以给手机更好的保护。

它将安全认证由一次性变为持续性的过程。密码一旦确认通过就被认为是合法用户,但是基于行为指纹的安全认证则是一个长期持续的认证过程。

移动支付网有幸邀请到深圳市能信安科技股份有限公司信息安全专家马小龙,在第三届中国移动金融安全大会上以《基于AI的移动金融用户身份认证系统分析》为题向我们介绍在智能手机技术和人工智能技术的快速发展的今天,基于用户行为特征的可信身份认证走到了哪里,未来的方向又在哪里。

马小龙,深圳市能信安科技股份有限公司信息安全专家,高级工程师,具有CISSP、CISA、ISO27001 Leader Auditor等安全专业认证。在应用安全技术、身份认证与特权管理、安全度量与态势感知、大数据技术和人工智能技术在安全领域的应用等多个领域具有深入的研究和应用经验,曾服务于金融、电力、通信、政府等不同行业的客户,包括亚运会、大运会等重大赛事的安全专家服务。

2018第三届中国移动金融安全大会详情见:http://www.mpaypass.com.cn/MFSC2018/

工商银行、农业银行、招商银行、中国银联、华润银行、苏州银行、四川省农信社、耒阳农村商业银行、平安银行、华南商业银行、北京银行、民生银行、东亚银行、浦发银行、金融电子结算中心、红山农信社、中国电信、中国移动、梆梆安全、IFAA、BlackBerry、沃通电子认证、鸿业远图、华为终端、京东金融、易宝支付、银盛支付、汇聚支付、美的支付、联通支付、钱袋宝支付、翼支付、讯联智付、乐刷科技、顺丰支付、快付通、CFCA、中金国盛、银行卡检测中心、平安科技、百富、联迪、九思泰达、视融达、国微、怡化、证通电子、艾体威尔、联发科、中信网安、传易金服、芯盾时代、握奇数据、8848钛金手机、江南科友、豆荚科技、能信安、扬帆伟业、德卡科技、深圳CA、纽创信安、紫光展锐等超百家企业参会。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2018 移动支付网    粤ICP备11061396号-5     粤公网安备 44030602000994号