手机银行玩转生物识别 “FIDO+”令转账更安全

来源：中国电子银行网 陈硕

作为新一代的电子银行服务，手机银行让手机成为一个掌上银行柜台，用户可随时随地体验各项金融服务。但在带来便捷的同时，手机银行由于脱离了面对面的业务场景，需要解决身份认证、交易数据合法性等问题，而被广泛使用的短信动态密码、验证码等认证方式安全性较低，仅适用于小额及同名账户转账等业务。同时，根据人民银行银发〔2016〕261号文规定，除向本人同行账户转账外，银行为个人办理非柜面转账业务，单日累计金额超过5万元的，应当采用数字证书或电子签名等安全可靠的支付指令验证方式。

可见，手机银行如果希望提升服务质量、满足监管需要，就急需使用数字证书、电子签名等技术提升认证安全性，但应如何使用这些技术为用户提供安全、易用的服务呢？2017年5月19日，随着平顶山银行上线“FIDO+”生物识别认证系统，为解决这些问题提供了一个成功的范例。

平顶山银行是一家股份制商业银行，曾先后荣获“全国十佳成长性银行” “全国最具成长潜力城市商业银行”等荣誉称号。在上线“FIDO+”认证系统前，平顶山银行手机银行的单笔限额为5万元，日累计20万元，采用的验证方式为短信验证码（不含数字证书、电子签名），无法便捷满足客户大额转账的需求。目前，部分银行采用了安全性较高的蓝牙KEY认证方式取代手机验证码。但经过综合分析，平顶山银行认为UKEY等外设硬件不仅成本较高，且对用户来说携带不便、操作复杂，体验度欠佳。因此，平顶山银行采纳了由中国金融认证中心（CFCA）提供的创新性生物识别认证方案“FIDO+”。

FIDO技术是目前业内移动端身份认证的最佳实践技术之一，它旨在利用指纹、声纹、人脸等生物识别特征，完成登录、转账等业务活动的安全认证。但FIDO在我国的应用中存在交易签名不符合《电子签名法》、国密算法支持不足等问题。针对这种情况，CFCA率先推出通过FIDO国际联盟认证的“FIDO+” 移动端认证解决方案，将FIDO协议与电子认证技术相结合，在生物识别技术的基础上，通过为用户颁发数字证书认证用户真实身份，并在业务过程中使用电子认证技术完成符合《电子签名法》的可靠电子签名，同时该方案完全支持国密、国际算法。

在成功上线“FIDO+”系统后，平顶山银行手机银行登录及动账类交易均加入指纹认证。客户登录手机银行时，既可以选择原有登录密码方式登录，也可以选择指纹方式登录。

平顶山银行手机银行登录页指纹认证

当客户进行转账、理财、大额存单、贵金属及代缴费等动账类交易时，首先输入交易密码，再通过“FIDO+”进行指纹认证，确保了交易的安全性与合法性。

客户通过指纹认证完成交易

“FIDO+”系统上线后，数字证书和电子签名的应用大幅提升了平顶山手机银行的安全级别，转账额度提高至单笔10万元，日累计50万元，同时符合监管要求。得益于生物识别技术和数字证书直接下载到手机的应用模式，安全等级的提升不仅未降低手机银行的易用性，还令指纹可替代原手机银行中所有验证码交易的菜单，并免去大额转账时借助外设的麻烦，使操作便捷性明显提高。客户只需携带手机，即可享受安全、省心的金融服务。据悉，平顶山银行手机银行“FIDO+”系统是“FIDO+”方案在银行业的首次成功应用，起到了良好的示范作用。相信在未来，电子认证和生物识别技术也将为更多的手机银行提供有力的安全保障和良好的用户体验。

如果您希望了解手机银行“FIDO+”系统的更多信息，请致电010-59798680或登录www.cfca.com.cn进行查询。