密码的消亡:生物识别技术提升安全指数
互联网发展初期,人们只需要记住几个 密码 :一个用于电子邮件,一个用于银行业务,或者也可以共用同一个密码。但随着电子商务、自助服务网站和社交媒体的快速发展,每个人现在都必须记住并管理数十个密码。人的记忆是有限的,密码的重设过程对所有消费者和企业而言都是沮丧之源。此外,违规行为也广泛存在,包括Yahoo!、LinkedIn、Target、Anthem等大量网站使用者的用户和账号密码已遭到入侵。
现在, 消费者和企业都认为密码并不是保证帐号信息安全的最终保证。 密码的消亡可能听起来很有戏剧性,但这的确意味着我们将开始寻求更安全、更方便的其他认证方式。
电子商务和银行网站已经利用幕后分层身份验证服务来确认客户身份。越来越多的公司正在尝试新的认证方式,如 生物识别技术 等。密码不会一夜之间消失殆尽,但其替代方法的出现、测试、上市、流行等过渡阶段,一切都将从密码开始。
有三个关键因素推动着更好认证方式的出现: 消费者行为 、 欺诈行为 和技术进步。
消费者行为
不幸的是,很多人使用“123456”或“password”作为他们的密码。根据Keeper Security提供的数据来看,“123456”占公司在2016年分析的1000万个密码中的近17%。“password”也是十大常见密码之一,被排为第八大最常见密码。网站往往有着不同的密码标准,但人们难以记住数十种不同的密码。因此,人们对许多网站使用相同的密码,或者将密码写下来,从而也给他人盗取窃取自己账号信息以可乘之机。使用复杂密码可能会减慢或阻止他人攻击您的账号,从而保护您的账号信息。
欺诈行为
欺诈者总是先攻击安全系数较低的网站,以便通过简单猜测得出用户名和密码组合,然后他们再将获得的账号信息尝试在其他更有价值的网站,如电子商务或银行网站。黑客还会在电脑上使用键盘登录恶意软件来窃取他人密码。人们很容易成为恶意软件的受害者,特别是如果人们不善于在其系统上进行病毒防御升级,如今天的恶意软件甚至可以通过简单点击合法网站上的广告来感染整个网络。
由于收集了用户的用户名和密码,因此在线攻击者已经取得了一定市场,他们可以将这些用户名密码组合销售给可以攻击更高价值在线网站的其他人。虽然许多电子商务服务企业和金融机构已经制定了包括身份验证等防护措施,但仍有许多机构缺乏这些防御。从某种程度来说,所有人面临着受到伤害的威胁。
技术进步
第一个替代方案是进行身份验证 ,网站将通过语音、短信或推送通知将数字代码发送给客户的手机。通过检查记录的客户电话号码和或智能手机上的应用程序,该系统进行不同级别的验证。
重要的是要认识到没有任何一个解决方案是可以免遭攻击,一个配备了多层验证来从不同角度评估用户身份和交易的系统,其安全系数总是要高于未配备的系统。
在过去的十年中, 越来越多的生物识别认证替代方案也被列入了解决方案之列 :首先在交互式语音响应(IVR)中进行语音认证,然后使用TouchID进行指纹认证,最近还有面部、眼睛静脉和虹膜验证。
还有新兴的替代方案,其中就包括行为生物识别技术(例如某人如何触摸他们的手机屏幕或在其PC上使用鼠标或打字速度等),甚至是其脉搏及手掌识别。 智能手机上传感器和摄像头的结合,再加上能快速处理复杂信息的软件,将这些先进技术送到了消费者身边。
技术进步也在后台继续进行着,帮助反欺诈团队在典型客户使用模式下辨别出账户的异常行为。 生物统计学与其他数据分析(例如时间、浏览器和设备细节)或交易的类型、大小和目的地等都可以帮助检测是否存在欺诈行为。
这些都是我们目前取得的一些进展-这也导致了密码的“死亡”或演变。那么现在该怎么办?密码是否真的就要离我们远去了?
我们发展的方向在何处?
作为一名银行从业人员,我们经常被问到的一个问题是, 使用生物识别技术是否已被证明其比老式密码更能抵御黑客攻击。 有一件事要记住的是,现在的密码是非常容易被盗窃和被网络钓鱼的,除非人们密切监视起自己的账户,并遵循官方建议,例如定期更改它们。
事实上, 想要收集和存储比密码更安全的生物特征数据是有方法的。 例如,数据可以绑定到设备,在这种情况下,设备的丢失将使数据再也无法使用。大多数人在他们手机被盗的几分钟之内就能发现自己手机被盗的事实。此外,生物特征数据不是以原始格式保存,而是以模板化、散列方式使用加密方法,使得几乎不可能重新设计以恢复到原始状态而被恶意使用。当生物特征数据与行为模式再加上设备和电话号码所有权相结合以形成用户的个人资料时,攻击者很难找到侵入的机会。
假设人们信任生物特征技术是安全的,现在人们实际上已经采用了生物识别技术,那么 决定其受欢迎程度的将是应用的通用性、便利性和可用性。
早期采用者可能会遇到的情况是,界面繁琐或者所需步骤太多,但是,直到绝大多数用户认为其比密码更容易使用之前,我们是无法取得成功的。由于生物数据依赖于物理属性,所以某一项生物识别技术可能并不适用于所有人,因此提供不同生物识别技术的选择对于获得百分之百的支持是非常重要的。例如,在一个用户可能视力受损并且不能使用基于相机的验证的情况下,那些用户可能能够利用指纹或是其他的行为方法。
在富国银行,生物识别还将继续快速发展。 为了支持商业客户,富国银行一直在进行着各项工作,如评估、模型研究、技术测试和收集客户的反馈,以确保能够为客户提供最好的体验。例如,其团队正在努力推出面向移动商业客户的眼睛静脉图案或眼纹认证。
据预测,密码在完全消失之前,还将在我们的世界中保留一席之地。世界上还有很多系统仍然要求用户名和密码,而且总有一些人不会采取其他措施来保护自己的账户。 金融机构则可以通过简便化、安全化 用户体验 的方式来引领这一技术。