沃通电子王高华:短信验证不安全,加密邮件成移动金融安全新方案


2018-11-21 14:32来源:移动支付网

11月15日,由北京移动金融产业联盟、移动支付网联合主办的2018第三届中国移动金融安全大会在深圳召开。沃通电子认证服务有限公司CEO王高华应邀出席本次大会,并以《加密邮件在移动金融安全上的应用》为主题发表演讲。

据王高华介绍目前短信验证码漏洞多、风险大,美国国家标准技术研究院(NIST)在SP 800-63B《身份鉴别与生命周期管理》中也明确指出:使用公众交换电话网络(短消息或语音)的带外身份鉴别不宜使用,正在考虑在本指南的未来版本中去掉。短信验证码已经从原先的带外验证(双因素)变成了带内,彻底失去了可作为一种身份验证方式的技术基础。但是我国至今还没有出台相应的政策指引,因此仍没有可替代的解决方案。

针对于此,王高华提出了新的支付验证思路——通过加密邮件完成,他认为加密邮件可以解决4个方面的安全问题:

1、通过加密邮件发送各种验证码,取代不安全的短信验证码;

2、通过加密邮件找回账户密码或重置账户密码;

3、通过加密邮件给用户发送电子账单等,并附身份认证签名信息,帮助用户有效识别欺诈邮件;

4、通过加密邮件为用户提供在线客服。

最后王高华还提及,经过测试几乎所有银行APP都没有做到100%严格验证服务器SSL加密通信,都存有一定安全隐患。如若要做到100%验证,则需验证以下几项:

1、APP访问服务端的网址是否与SSL证书绑定的域名一致?

2、服务端SSL证书是否是APP信任的CA颁发(验证书链)?

3、服务端SSL证书证书是否被吊销?

4、服务端SSL证书证书是否过期?

5、服务端是否采用的不安全的加密套件?

此外,王高华还称除了100%验证以外也可通过其他安全措施来加强APP的安全性能,例如APP内置信任DNS,或者内置服务端IP地址等。

沃通电子认证服务有限公司(www、wosign、com)是工信部许可的电子认证服务机构(CA),是专注于PKI技术的互联网安全产品和服务提供商。沃通CA不仅提供全球信任的SSL证书、代码签名证书等数字证书产品,同时研发基于PKI技术的硬件产品、软件产品和系统产品,以及互联网安全相关在线服务和解决方案,通过安全可信赖的产品、解决方案和服务,为个人用户、企业用户及各领域行业用户解决互联网安全与信任的相关问题。

评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606