菠菜、杀猪盘、刷单屡禁不止 我们需要更强力的网络身份认证!


2020-6-30 14:14来源:移动支付网    作者:陈拾九

近期,珍爱网被人民网点名,被爆涉多起“杀猪盘”案件,引发了多方关注。人民网文章指出,相亲社交平台作为重要“入口”,平台也应承担因不严格推行实名制以及未尽到风险提示义务相对应的责任。

但事实上,“杀猪盘”这样的情感诈骗并不只在珍爱网出现,在360发布的《2019网络诈骗趋势研究报告》中,各大社交平台都是交友诈骗高发区。

来源:《2019网络诈骗趋势研究报告》

珍爱网涉及“杀猪盘”不是什么新鲜事,或者说网络交友遇到“杀猪盘”不是什么新鲜事。在外界看来,“杀猪盘”屡禁不止是网络平台实名制落实不到位所造成的,但如果究其根本,会发现其实是现在的网络身份认证技术已经不能满足基本需求。

网络身份管理和认证的痛点

非“金融级身份认证”逐渐不能满足需求

网络身份认证大致可以分为两大类,“金融级身份认证”和非“金融级身份认证”。简单的说,“金融级身份认证”是指通过种种技术手段满足金融机构身份认证安全标准,达到“实名、实人、实证”。

珍爱网这样的网络平台,因为其业务和金融完全没关系,实行的是非“金融级身份认证”。按照是网信办在2015年2月发布的《互联网用户账号名称管理规定》进行实名制管理。

《互联网用户账号名称管理规定》

《规定》要求,互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。珍爱网这样的社交平台普遍通过手机号+验证码就可以完成注册,使用其服务。

在移动金融支付普遍流行的现在,虽然珍爱网自身服务不涉及移动金融支付,不需要做金融级身份认证。但是实际的运营上,非“金融级身份认证”已经不能满足安全需求。

如果不做“金融级身份认证”或达到类似水平,很有可能就会成为犯罪分子的突破口,大量的出现类似于“杀猪盘”这样的事件,或将承担法律风险。

如果做,又要付出不必要的成本,本来通过便宜的验证码就可以搞定的事情,现在要使用高成本的方式。说想做,技术达不到更是不可能的事情,目前“金融级身份认证”几乎人人皆知。

对类似于珍爱网这样的平台来说,做还是不做,几乎是两难的境地。

个人金融信息泄露时有发生

“金融级身份认证”本身也不是没有任何问题。“金融级身份认证”使用多因素交叉身份验证,不可避免的要收集大量的个人信息。

以移动支付举例,想要证明“你是你”用户需要提供身份证号、银行卡号、手机号、应用账户号、登录密码、支付密码、短信验证码等等多种信息进行开户。

使用时需要提供以上两种信息进行双因素身份验证才可以进行支付,比如使用刷脸支付需要验证人脸信息和手机号,使用网络支付中需要验证账号和密码。

刷脸支付机具

大量个人身份信息的收集和汇聚造成这些个人信息面临着泄露的风险。事实上,数据泄露并不少见。

有媒体报道称,中国有上亿条个人金融数据在地下流通,这些数据维度之多让人瞠目结舌,不仅仅包括个人联系方式,还包括收入信息、工作信息、银行卡信息等等。

黑市个人信息贩卖示例

这些数据大多是为了进行多因素交叉身份验证提交,而后被不法分子非法贩卖。更为可怕的是这样的数据泄露防不胜防。

今年3月底,原建设银行余姚城建支行行长沈某某因犯侵犯公民个人信息罪,被判处有期徒刑3年,缓刑3年,并处罚金人民币6000元。沈某某曾将非法获取的余姚市东城名苑业主财产信息1111条和其所在行贷款客户财产信息127条非法提供给他人用于招揽业务。

类似于这样的案件每年都有发生。

“电子身份证”也许是个解决方案

被期于厚望的电子身份证

网络身份管理所存在的难点和痛点不是突然出现的。据第45次《中国互联网络发展状况统计报告》截止时间为2020年3月,我国网民规模为9.04亿。

与此同时,网络犯罪数量不断增加,案件量及在全部刑事案件总量中的占比均呈逐年上升趋势,其中2018年案件量显著增加,同比升幅为50.91%。

中国工程院院士沈昌祥曾对媒体表示,网络空间的虚拟性导致难以确定用户身份的真实可信,给网络空间治理造成了巨大的困难。有没有什么办法呢?

今年两会,人大代表葛菲建议,在全国范围内推行以公安机关权威身份数据为基础的统一“电子身份证”。提出类似提案的代表还有人民银行南昌中心支行行长张智富、新大陆科技集团CEO王晶等等。

这里的“电子身份证”是指基于公安部身份证数据形成的具有法定身份证件效力的个人电子身份证,目前有两种技术路线。

一种是公安部第一研究所推出的,基于“互联网+”可信身份认证平台(CTID平台)的居民身份证网上功能凭证(网证);另一种是公安部第三研究所推出的,eID公民网络电子身份标识。

2010年,公安三所根据公安部指示开展网络身份管理试点研究。2012年,面向北邮全校师生发放了3万张eID,基本覆盖北邮全校教职员工,实现了eID制发的全业务流程试点。后续eID随着技术的进步不断进化,从依托IC卡到和手机合二为一,完成了数字化。

CTID于eID相比,起步较晚,不过CTID的出现非常的惊艳,2017年微信推出“网证”,2018年亮相支付宝,一出现就亮相国内两大超级App,而且其应用涉及到政务办事、酒店入住、买车票多个生活场景,在与互联网企业的合作方面CTID走的尤为突出。

从产品特征来说,两者具有类似的特征:都是以二代身份证为根基,使用了密码技术脱敏,基于统一的身份认证系统实名签发,能满足“金融级身份认证”。

CTID与eID落地项目统计

从落地项目应用场景来划分,可以看出目前无论是CTID还是eID主要还是集中精力于线下场景的身份核验,而网络身份认证和金融级身份认证只是浅尝为止。

影响的原因有很多,其中有两点最为重要。一是没有法律和政策上的支持,无论是CTID还是eID虽然都是以二代身份证为基础,但是并不是法定身份证件,在推广、落地的过程中必然会受到影响。

二是,至今为止,两者推出的项目在使用上有一定的门槛。比如开通不便,应用范围不广。重要的是,没有形成全链条打通,只要一个场景必须使用身份证,用户就会携带身份证,而携带了身份证,其他场景中的CTID和eID使用就变得没有必要。

这两个因素互为表里,说不清楚是谁影响谁更多一点,那么破局的地方在哪里?

泛金融身份认证或大有可为

从珍爱网陷入的难题可以看出,简单的使用手机号+验证码的方式进行实名制管理已经开始不能满足网络身份管理的需求,起码对于珍爱网来说是不够的,所以珍爱网在去年12月引入了CTID。

珍爱网的选择表现出一种解决方案,引入一种更强的身份认证方式来对用户身份进行二次认证。这种更强的身份认证从强度上而言接近或符合“金融级身份认证”,但由于不是每次使用业务都需要进行强认证,因此又和“金融级身份认证”的具体应用有所区别。

也许可以将这样的身份认证应用方式称为“泛金融身份认证”,通过这样的应用方式,或许可以解决网络身份管理和认证强度不够的问题。

而CTID和eID应用则是目前最具有竞争力的两个方案:具有高强度认证等级、认证方案成本不至于太高。抓住这波需求,或将彻底改变目前身份认证行业的格局。

市场对网络身份认证和管理提出了更高的需求,那么应用会不会快速的向需求进行转变?未来的网络身份认证市场格局又会是什么样子?我们拭目以待。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606