全国服务热线:18937119788

新闻中心 PRODUCT DISPLAY

“刷脸支付”热潮背后的冷思考:增加基于隐性因子身份认证的必要性

来源: 发布时间:2020-02-25 50282 次浏览

来源:安全牛    作者:梆梆安全    2017-9-18 9:27

9月13日凌晨1点(北京时间),苹果新发布全屏手机iPhone X的消息在科技圈炸开了锅,除了被人吐槽的“齐刘海”外,Face ID(刷脸认证)概念再次震惊到我。笔者不禁想问苹果产品经理和设计师是否真正考虑过我大中华用户诉求?

看完发布会,内心就暗暗发誓绝对不能买iPhone X,这里也提醒各位已婚男同胞,女同胞尤其是网红,在购买iPhone X前要慎之又慎。如果你是土豪的话,那就更需要小心,遇到绑匪,瞬间就会让你明白自己脸有多值钱!

这是一个“靠脸吃饭”的时代,但是 “刷脸支付”是否会被其安全性“打脸”,值得大家深思。众所周知,人脸识别技术是基于人的脸部特征,对输入的人脸图象或者视频流,与已知的人脸进行对比,从而识别每个人脸的身份。与传统的密码识别和指纹识别技术一样,人脸识别凭借其生物特征唯一性成为了身份认证的重要因子。因此,“人脸识别”的安全问题归根结底就是身份认证安全问题。

安全性和便捷性不可兼得的显性多因子组合认证方式

身份认证作为银行支付和第三方支付中最重要的一环,在支付安全体系中一直处于举足轻重的地位。目前银行主流认证方式中,一般采用“用户名+密码+短信验证码+U盾”这种方式,这是非常典型基于显性多因子组合的认证方式。所谓显性因子就是身份认证中需要使用者操作的认证因子,例如用户名、密码、短信验证码、指纹、声纹、人脸识别等都属于显性认证因子。从某种程度上来说,认证显性因子越多,安全性会越高,但同时用户体验也会越差,尤其是在小额支付的场景下用户更加不会喜欢过于复杂的操作过程。

例如,随着移动支付时代到来,虽然大家都意识到短信验证码存在安全风险,但由于其便捷性,短信验证仍然成为了业界普遍采用身份认证方式。与此同时,围绕短信验证码或其他身份认证的支付欺诈也在快速发展并形成了完整黑色产业链。举个简单例子,犯罪分子通过使用电信拦截装置、干扰机制或者利用手机木马,可以在用户毫无感知的情况下截获短信。在支付链条中,如何在兼顾用户体验的前提下保障支付安全,已经成为亟待解决的安全痛点。

隐性因子身份认证方式,补位显性认证因子不足

在不影响用户体验前提下,提升安全性,是当前市场最需要解决的问题。相对于显性因子,不需要使用者操作认证的方式则称之为隐性认证因子。增加隐性认证因子,可以很好弥补单一通过显性因子进行身份认证的安全局限性。

显性认证因子

基于隐性因子的身份认证增强方案

梆梆安全提出基于隐性因子的身份认证增强方案,很好解决了用户名、密码和短信验证码等身份验证方式的安全弱点。该方案采用基于设备指纹和白盒密钥的组合方案对支付设备进行认证,其中白盒密钥可解决设备指纹存在被伪造的潜在风险。除此之外,还可以实现“一机一密”的高强度密钥更换,可以进行多设备绑定,多场景支付交易保护等功能,在兼顾用户体验的基础上提高身份认证的安全性。

在支付过程中,验证设备指纹和白盒密钥属于隐性认证因子并不需要用户操作,因此可以在用户无感知情况下完成身份认证。如果用户使用未注册的设备(未与账号绑定)进行支付,可拒绝支付或者增加其他辅助认证策略。

总结

随着互联网,尤其是移动互联网快速发展,密码使用越来越频繁,继数字、手势、指纹之后,人脸识别作为一种新的密码形式开始备受推崇,刷脸登录、刷脸开户、刷脸取款等身份认证方式开始在大众中普及。但是与之相伴的安全问题也不容忽。

在今年央视3·15晚会曾曝出仅凭一张照片,换个脸就成功攻破了人脸识别验证方式,这说明人脸识别身份认证目前尚有不成熟之处,应融合更多认证方案,在兼顾用户体验的基础上提高安全门槛。