从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付

虎嗅网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  
从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付
3月13日,央行下发紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》,叫停支付宝、腾讯的虚拟信用卡产品,同时叫停的还有条码(二维码)支付等面对面支付服务。央行在通知中要求,立即暂停线下条码(二维码)支付、虚拟信用卡有关业务,采取有效措施确保业务暂停期间的平稳过渡。

从金融监管层面看,央行该项举措符合李克强总理近期关于“政府已经排出时间表加强监管影子银行等金融风险”的讲话精神。从技术角度来看,正如央行发文所称“条码(二维码)应用于支付领域有关技术、终端的安全标准不明确,相关支付撮合验证方式的安全性尚存质疑,存在一定得支付风险隐患。虚拟信用卡突破了现有信用卡业务模式,在落实客户身份识别义务、保障客户信息安全等方面尚待进一步研究。”可以想象,如果身份盗用事件大面积发生,势必造成虚拟信用及虚拟货币的泛滥。

移动互联网环境下的交易安全及用户身份识别问题亟待解决

用户身份识别以及交易安全保护问题已成为移动互联网金融亟待解决的瓶颈问题。据调查显示,有75%的非网上银行用户由于担心安全性而不愿尝试;CFCA近期发布的《2013年中国手机银行用户调研报告》显示,对安全性存疑的手机用户占比高达61.23%,手机病毒木马、手机遗失造成账户损失、出事后难以找到责任方等问题,令公众对移动互联网安全感到担忧,极大了阻碍了移动互联网金融的发展。

1、预留手机号进行短信验证的身份认证方式存在很大安全漏洞

移动互联网环境下,现有的身份识别方式基于客户预留手机号的短信验证,一旦手机卡被复制或验证短信被劫持转发等情况发生,犯罪分子可以非法控制被害人的手机银行,甚至“帮助”被害人注册开通手机银行,进行犯罪活动。从目前主流的电子支付方式看,如果用户办银行卡时有在银行预留手机号,那么只需填写银行卡号、姓名、身份证号和预留手机号就可实现银行卡的绑定,然后通过设置的支付密码就可实现消费,并不需要银行卡的密码,而姓名、身份证号、银行卡号等信息在网络上很容易泄露,存在较大的互联网身份盗用风险。

二维码支付的业务流程中,在手机产生二维码的第三方账户极易被盗用,同时二维码扫描也给了犯罪分子诱使客户在不知情的情况下,被植入恶意木马窃取关键信息的机会。上述问题的存在,使得互联网金融服务中,重大资金被盗及资讯泄密案件频发。(具体案例网上均有大量报道)

2、支付指令与验证指令单通道传输容易被篡改

众所周知,银行和第三方公司在提供移动支付服务的同时已做了相应的安全措施,但由于客户与银行之间单通道的通讯传输方式(由手机、电脑等终端同时发送支付指令和验证指令到银行服务器),这种方式容易受网络中间人、浏览器劫持人所攻击,金融机构难以确认客户端操作者的身份,无法识别网络中间人对支付指令的篡改。消费者面对花样繁多且不断升级的攻击方式,操作稍有不慎即造成损失。而“U盾”、“电子口令卡”等安全工具,还是存在着对客户安全使用意识要求较高且携带使用不便等诸多问题。

移动互联网安全领域的现状及未来趋势

随着移动互联网的发展,传统的账号+密码+短信验证码的身份验证方式已无法满足商家及消费者的安全需求。而目前新兴的指纹识别技术通过对生物特征进行取样,提取其唯一的特征并且转化成数字代码,并进一步将这些代码组合成特征模板完成身份识别。但从本质上讲,生物特征识别技术提取的指纹等特征最终仍是转变为静态数据的格式(12345),在认证原理上未有实质性的创新,无异于静态密码保护。由于指纹等生物特征无法修改,黑客一旦窃取数据便可一劳永逸,尚不及可随时修改的静态密码更为安全。

IBM于2013年11月发布的未来 5 年五大预测中提及:用户密码、身份、设备前所未有的多,但安全却是高度碎片化。即将出现的在线数字卫士技术,通过背景、环境及历史数据分析来验证用户在不同设备上的身份,了解正常活动与潜在危险之间的差异,通过智能终端进行互联网身份认证及安全保护,全方位的保卫用户的数字生活。用户不用再去寻找攻击的迹象,数字卫士会观察设备的操作行为,识别出其中的异常,并发出告警。这表明个人在智能终端上的行为数据是身份验证的最有效手段,世界上不存在完全一致的两台智能终端。

IBM的预测并非空谈,值得关注的是,国内已有类似数字卫士的产品出现。例如,某公司互联网金融安全解决方案,根据该公司创始人介绍:该方案是独立第三方移动互联网金融安全认证服务,采用了交易支付数据及验证信息数据分离的双通道架构,通过终端设备指纹识别(包括硬件指纹、软件指纹以及个人行为指纹)、地理位置及时间设置等多因素强认证的手段,对用户身份进行认证,将金融机构单方实施的安全措施转化为由金融机构和消费者共同参与的交叉式安全保护,可以全方面防范网络钓鱼、伪卡盗卡、短信劫持、恶意复制手机卡开通网银等身份盗用攻击形式。由于黑客难以同时劫持两个通道,也就无法同时篡改交易指令和验证指令,从而对用户在网银、手机银行、ATM、POS机上的交易安全提供全面保障。方案尤其适用于二维码、条形码、NFC等支付(交易)过程中的身份验证及交易安全保护。采用该方案服务,用户可以自主绑定手机、电脑等个人设备,用于指定银行卡、账户的登录及交易;用户也可以用手机所处的位置来限定允许交易发生的地点或区域;用户还可以设置账户的登录、交易时间,保护包括网络、ATM、POS在内的交易环境下的安全。在该方案下,用户可以自主绑定手机、电脑等个人设备,用于指定银行卡、账户的登录及交易;用户也可以用手机所处的位置来限定允许交易发生的地点或区域;用户还可以设置账户的登录、交易时间,保护包括网络、ATM、POS在内的交易环境下的安全。

可以推断,由于消费者可以在手机界面享受一站式自助式金融服务,资金在储值、理财、支付、信用、保险等产品服务中机动转换,在操作上带来了极大的便捷性。

互联网安全身份认证与物理环境中的身份认证意义完全不同。物理环境下,从一家银行网点的认证环境中完成服务走入另一家银行后,认证又要重新开始,并没有关联性。互联网安全身份认证可以让金融机构对个人、金融机构对商家、商家对个人、个人对个人之间在网络上交叉关联认证,具有很强的商业粘结性。可以同时为金融服务、版权保护、隐私保护、商品防伪、订票订房、医疗服务等行业需求提供关联认证。美国的四大电信运营商去年开始联手防盗,运用设备指纹认证技术,使得手机一旦被盗或遗失便无法在任何一家运营商使用。

IBM预测的数字卫士技术,已经可以服务于互联网金融。而互联网安全身份认证在金融业与互联网企业的竞争中、在监管机构的眼中尤为突出。银行以前比较依赖传统的门面服务,而互联网企业比较擅长网络营销。在智能终端服务越来越普及的时代,谁先勇于创新,谁先敢于融合新技术,谁就会取得市场上的先发优势,我们可以拭目以待。
文章为作者独立观点,不代表虎嗅网立场
本文由 额滴扣扣~ 授权 虎嗅网 发表,并经虎嗅网编辑。转载此文章须经作者同意,并请附上出处( 虎嗅网 )及本页链接。原文链接 http://www.huxiu.com/article/29981 /1.html
向作者提问 加入文集

随意打赏

提交建议
微信扫一扫,分享给好友吧。