导语:智能化主要体现在三个方面:在验证手段方面,更多的使用基于机器学习的生物识别技术;在风险评估方面,设备指纹和行为性生物识别的使用;在触发策略方面,基于风险的动态策略的使用。
本文介绍了多因子认证在金融服务业的应用,以及近年来智能化多因子的趋势。智能化主要体现在三个方面:在验证手段方面,更多的使用基于机器学习的生物识别技术;在风险评估方面,设备指纹和行为性生物识别的使用;在触发策略方面,基于风险的动态策略的使用。
正文
在金融服务领域,多因子认证的使用由来已久。多因子认证是一种对服务访问控制的机制,其手段是让用户提供多种证明给认证体系来完成。这些证明通常来自三个大类,分别是:所知,用户所知道的东西;所有,用户所拥有的东西;身份,访问者是谁。
多因子认证在传统银行业务发挥着巨大的作用,随着越来越多的银行和金融服务转向互联网和移动端,多因子认证也面临一些新的挑战。智能手机逐步成为网络银行的缺省终端,智能手机平台多样化、短信劫持、大量的APP漏洞等,使得移动互联网安全挑战远比传统的PC互联网要大且更为复杂。
金融服务提供者通常应对这些安全挑战的方式是增加更多的因子,如人脸,指纹,声纹,虹膜等。这些固然是一种安全的方法,但对用户体验造成打扰。如何平衡安全风险和用户体验,是困扰金融服务界的一个难题。
01智能化的多因子认证
近年来,国际产业界逐渐摸索出一套更完整的解决方案——智能化的多因子认证体系。
如上图所示,智能化多因子认证在流程上分两个阶段:风险评估和验证手段。
风险评估
风险评估的工作是在无侵扰的模式下进行,金融行业在用户无感知的情况下(如:划屏力度等)或推测用户的地理位置、行为属性,并据此对账号风险进行评估,一旦此风险评分超越某既定的阈值,系统即可触发一种或多种验证手段来加强安全防护。
验证手段
1)传统的验证手段
工业界在长期的身份验证实践积累中,逐步形成一些成熟的验证手段。这些手段包括:密码卡,短信验证,语音电话,U盾,文字验证码,图形验证码,滑动验证等等。这些手段行之有效,但有时对访问者的侵扰较多,用户体验方面有所欠缺。
2)新一代验证手段
随着近年来机器学习技术的快速发展,一些生物识别技术逐步成熟。较好的用户体验深受金融服务提供者的青睐。指纹,声纹和人脸识别是新一代验证手段的代表。
3)指纹识别
每个人的指纹并不相同,同一人的不同手指的指纹也不一样,指纹识别就是通过比较这些细节特征来进行鉴别。指纹识别需要依赖特殊设备进行采集,采集设备主要有电容式和光学式两种。指纹识别在生物识别的手段中辨识率最高。金融业已有较广泛的应用,主要挑战在对特殊设备的依赖。
4)声纹识别
声纹识别又称说话人识别, 是一项根据语音波形反映说话人生理和行为特征的语音参数,自动识别说话人身份的技术。声纹识别是机器学习中典型的模式识别问题,常用的技术包括频谱估计,隐马尔可夫模型,高斯混合模型等。
声纹识别目前在金融行业有较多的使用,比如Barclay Wealth和汇丰银行旗下的互联网银行First Direct。声纹识别所面临的主要挑战是噪音的处理,和说话人身体状况所带来的声纹特征变化。
5)人脸识别
人脸识别,特指利用分析比较人脸视觉特征信息进行身份鉴别技术。与指纹识别不同,识别的过程利用可见光、摄像头即可完成,无需特别的物理设备。虽然人脸识别受到了广泛欢迎,但还是作为身份验证的一种辅助手段。人脸信息是公开信息,基于机器学习的人脸识别比较容易受到黑客的恶意攻击。
02 风险评估的关键技术
1)设备指纹
用户和新一代的移动银行服务之间的交互以移动终端设备为介质,因此以设备指纹为中心的设备识别技术,在多因子的风险评估中占有极其重要的地位。
设备指纹技术一般可分为主动式、被动式和混合式三种。
主动式设备指纹
业内设备指纹技术一般是主动式,采用Javascript代码或SDK在客户端主动地收集与设备相关的信息和特征,通过对这些特征的识别来辨别不同的设备和相关用户。
纯粹的主动式设备指纹因为从终端设备采集较多的设备信息,往往能够取得更高的识别率,但是其隐私性和对抗性都较差,而且场景受限,无法跨越web/app进行识别。
被动式设备指纹
被动式设备指纹在智能设备与服务器通信的过程中,从数据包的7层协议中提取出这台设备的操作系统、协议栈和网络状态相关的特征并结合机器学习算法以标识和跟踪具体的移动设备。
被动式设备指纹技术门槛较高,隐私性对抗性都比较好,可以跨越web/app进行识别,由于不主动采集设备终端信息,在一些情况下识别率较低。
混合式设备指纹
混合式设备指纹则试图兼具主动式和被动式二者之长,在识别率,应用场景和对抗性三个方面平衡。如国内领先的业务反欺诈服务商——猛犸反欺诈,同时提供全栈被动式设备指纹和混合式设备指纹,供客户根据不同的应用场景选用。
设备指纹除了直接用于身份识别外,其副产品如proxy,模拟器,vpn的识别,操作系统指纹等也为多因子认证风险评估提供输入。
2)生物识别技术
生物识别由于在机器学习方面的突破,在身份验证环节中越来越多的应用。实际上生物识别不仅可以用在身份验证上,在风险评估的环节,同样可以发挥重大作用。
与身份验证中所使用的显式生理的身份识别手段,比如人脸,指纹,虹膜等不同。在风险评估中,更多的是使用隐式行为上的一些特征,比如触屏力度,滑屏轨迹,步态等。这些特征会在访问者无感知的情况下采集,对用户的使用体验不造成干扰,受黑客攻击的可能性也较小。
03 智能化多因子认证的策略
1)规则策略
最简单直接的多因子认证策略是基于规则的策略。运营人员添加一系列规则,这些规则由用户属性,访问目标,风险特征组成。规则之间有一个优先级的顺序,优先级由高到低逐个匹配。如果某条规则匹配上了,则采取规则所既定的行动即允许访问,或触发一项或多项认证因子。
2)基于风险评估的动态策略
另一类策略是动态策略,根据风险评估的结果和实际有效打扰率的反馈动态的决定是否触发二次验证。风险的评估主要针对于账户相关的欺诈风险,比如账户盗用、垃圾注册等。风险评估的场景,包括注册、登录、交易、转账、贷款等许多业务环节。根据场景的不同,触发二次验证的风险评分阈值也会有所不同。
金融科技正处于爆发性成长的阶段,智能化多因子认证可以很好的平衡系统安全与用户体验。一方面它通过引入最新的智能化认证技术来提高系统安全性;另一方面,通过风险评估可以让这些认证环节仅在必要的情况下才触发,极大的避免了认证手段对用户的侵扰。
本文提到的智能化多因子三个方面,其智能技术各自独立发展,期待将来能作为一个整体,互相影响促进。同时也希望机器学习、人工智能方面的进展能够带来新的想法,进一步优化目前以启发式算法为主的触发策略,为用户带来更加流畅的使用体验。多因子验证的智能化趋势方兴未艾,我们拭目以待,期待着人工智能为我们带来更好的服务和用户体验。