文档章节

金融反欺诈的新武器:智能化多因子认证

M
 Maxent猛犸反欺诈
发布于 2017/05/19 16:44
字数 2346
阅读 29
收藏 0

在金融服务领域,多因子认证的使用由来已久。多因子认证是一种对服务访问控制的机制,其手段是让用户提供多种证明给认证体系来完成。这些证明通常来自三个大类,分别是:所知,用户所知道的东西;所有,用户所拥有的东西;身份,访问者是谁。

多因子认证在传统银行业务发挥着巨大的作用,随着越来越多的银行和金融服务转向互联网和移动端,多因子认证也面临一些新的挑战。智能手机逐步成为网络银行的缺省终端,智能手机平台多样化、短信劫持、大量的APP漏洞等,使得移动互联网安全挑战远比传统的PC互联网要大且更为复杂。

金融服务提供者通常应对这些安全挑战的方式是增加更多的因子,如人脸,指纹,声纹,虹膜等。这些固然是一种安全的方法,但对用户体验造成打扰。如何平衡安全风险和用户体验,是困扰金融服务界的一个难题。

01

智能化的多因子认证

近年来,国际产业界逐渐摸索出一套更完整的解决方案——智能化的多因子认证体系。

智能化多因子认证在流程上分两个阶段:风险评估和验证手段。

风险评估

风险评估的工作是在无侵扰的模式下进行,金融行业在用户无感知的情况下(如:划屏力度等)或推测用户的地理位置、行为属性,并据此对账号风险进行评估,一旦此风险评分超越某既定的阈值,系统即可触发一种或多种验证手段来加强安全防护。

验证手段

1)传统的验证手段

工业界在长期的身份验证实践积累中,逐步形成一些成熟的验证手段。这些手段包括:密码卡,短信验证,语音电话,U盾,文字验证码,图形验证码,滑动验证等等。这些手段行之有效,但有时对访问者的侵扰较多,用户体验方面有所欠缺。

2)新一代验证手段

随着近年来机器学习技术的快速发展,一些生物识别技术逐步成熟。较好的用户体验深受金融服务提供者的青睐。指纹,声纹和人脸识别是新一代验证手段的代表。

3)指纹识别

每个人的指纹并不相同,同一人的不同手指的指纹也不一样,指纹识别就是通过比较这些细节特征来进行鉴别。指纹识别需要依赖特殊设备进行采集,采集设备主要有电容式和光学式两种。指纹识别在生物识别的手段中辨识率最高。金融业已有较广泛的应用,主要挑战在对特殊设备的依赖。

4)声纹识别

声纹识别又称说话人识别, 是一项根据语音波形反映说话人生理和行为特征的语音参数,自动识别说话人身份的技术。声纹识别是机器学习中典型的模式识别问题,常用的技术包括频谱估计,隐马尔可夫模型,高斯混合模型等。

声纹识别目前在金融行业有较多的使用,比如Barclay Wealth和汇丰银行旗下的互联网银行First Direct。声纹识别所面临的主要挑战是噪音的处理,和说话人身体状况所带来的声纹特征变化。

5)人脸识别

人脸识别,特指利用分析比较人脸视觉特征信息进行身份鉴别技术。与指纹识别不同,识别的过程利用可见光、摄像头即可完成,无需特别的物理设备。虽然人脸识别受到了广泛欢迎,但还是作为身份验证的一种辅助手段。人脸信息是公开信息,基于机器学习的人脸识别比较容易受到黑客的恶意攻击。

02

风险评估的关键技术

1)设备指纹

用户和新一代的移动银行服务之间的交互以移动终端设备为介质,因此以设备指纹为中心的设备识别技术,在多因子的风险评估中占有极其重要的地位。

设备指纹技术一般可分为主动式、被动式和混合式三种。

·       主动式设备指纹

业内设备指纹技术一般是主动式,采用Java代码或SDK在客户端主动地收集与设备相关的信息和特征,通过对这些特征的识别来辨别不同的设备和相关用户。

纯粹的主动式设备指纹因为从终端设备采集较多的设备信息,往往能够取得更高的识别率,但是其隐私性和对抗性都较差,而且场景受限,无法跨越web/app进行识别。

·       被动式设备指纹

被动式设备指纹在智能设备与服务器通信的过程中,从数据包的7层协议中提取出这台设备的操作系统、协议栈和网络状态相关的特征并结合机器学习算法以标识和跟踪具体的移动设备。

被动式设备指纹技术门槛较高,隐私性对抗性都比较好,可以跨越web/app进行识别,由于不主动采集设备终端信息,在一些情况下识别率较低。

·       混合式设备指纹

混合式设备指纹则试图兼具主动式和被动式二者之长,在识别率,应用场景和对抗性三个方面平衡。如国内领先的业务反欺诈服务商——猛犸反欺诈,同时提供全栈被动式设备指纹和混合式设备指纹,供客户根据不同的应用场景选用。

设备指纹除了直接用于身份识别外,其副产品如proxy,模拟器,vpn的识别,操作系统指纹等也为多因子认证风险评估提供输入。

2)生物识别技术

生物识别由于在机器学习方面的突破,在身份验证环节中越来越多的应用。实际上生物识别不仅可以用在身份验证上,在风险评估的环节,同样可以发挥重大作用。

与身份验证中所使用的显式生理的身份识别手段,比如人脸,指纹,虹膜等不同。在风险评估中,更多的是使用隐式行为上的一些特征,比如触屏力度,滑屏轨迹,步态等。这些特征会在访问者无感知的情况下采集,对用户的使用体验不造成干扰,受黑客攻击的可能性也较小。

03

智能化多因子认证的策略

1)规则策略

最简单直接的多因子认证策略是基于规则的策略。运营人员添加一系列规则,这些规则由用户属性,访问目标,风险特征组成。规则之间有一个优先级的顺序,优先级由高到低逐个匹配。如果某条规则匹配上了,则采取规则所既定的行动即允许访问,或触发一项或多项认证因子。

2)基于风险评估的动态策略

另一类策略是动态策略,根据风险评估的结果和实际有效打扰率的反馈动态的决定是否触发二次验证。风险的评估主要针对于账户相关的欺诈风险,比如账户盗用、垃圾注册等。风险评估的场景,包括注册、登录、交易、转账、贷款等许多业务环节。根据场景的不同,触发二次验证的风险评分阈值也会有所不同。

 

金融科技正处于爆发性成长的阶段,智能化多因子认证可以很好的平衡系统安全与用户体验。一方面它通过引入最新的智能化认证技术来提高系统安全性;另一方面,通过风险评估可以让这些认证环节仅在必要的情况下才触发,极大的避免了认证手段对用户的侵扰。

本文提到的智能化多因子三个方面,其智能技术各自独立发展,期待将来能作为一个整体,互相影响促进。同时也希望机器学习、人工智能方面的进展能够带来新的想法,进一步优化目前以启发式算法为主的触发策略,为用户带来更加流畅的使用体验。多因子验证的智能化趋势方兴未艾,我们拭目以待,期待着人工智能为我们带来更好的服务和用户体验。

© 著作权归作者所有

M
粉丝 1
博文 3
码字总数 6710
作品 0
私信 提问
Maxent猛犸反欺诈:运用人工智能打造多层级业务安全架构

上海2017年1月9日电 /美通社/ -- Maxent猛犸反欺诈CEO张克在1月6日在沪举行的金融科技峰会发表演讲,与业内精英共同分享人工智能反欺诈建设多层级的智能化业务安全架构思路。 Maxent猛犸反欺...

玄学酱
2018/04/23
0
0
如今您必须知道的金融信息安全知识

随着移动互联网迅猛发展,在这个大数据发达的时代,想必您自己也担心过自己的隐私信息是否已泄露,个人信息一旦泄露,将直接威胁您的个人财产安全;通付盾提醒您提前采取一定的安全措施,多关...

通付盾
2017/04/14
0
0
腾讯金融云牵手东北再担保,反欺诈产品灵镜亮相

雷锋网(公众号:雷锋网)5月30日消息,今日,腾讯公司与东北中小企业信用再担保股份有限公司签署战略合作协议,也是腾讯金融云反欺诈产品灵镜的一次正式亮相。 据称,双方将在大数据风控、智能...

AI金融评论
2018/05/30
0
0
解读| 支付宝催泪视频背后的反欺诈升级战

小蚂蚁说: 在很多人的潜意识里,一说到网络安全,就认为那是高大上的事物,与自己无关。然而,当互联网如此深刻地改变着人们的生产生活,并融入到社会生活的方方面面时,网络安全对社会的影...

兔子酱
2018/05/04
0
0
蒋韬:大数据和人工智能在保险行业的应用及展望

文/同盾科技创始人、董事长蒋韬 当前,保险业的需求在朝着多样化、个性化方向发展,大数据和人工智能等先进的科技成为保险发展内在要求和新的驱动力。 近年来,随着中国经济的高速发展,人们...

小狼
2017/12/13
0
0

没有更多内容

加载失败,请刷新页面

加载更多

JS基础-该如何理解原型、原型链?

JS的原型、原型链一直是比较难理解的内容,不少初学者甚至有一定经验的老鸟都不一定能完全说清楚,更多的"很可能"是一知半解,而这部分内容又是JS的核心内容,想要技术进阶的话肯定不能对这个...

OBKoro1
今天
6
0
高防CDN的出现是为了解决网站的哪些问题?

高防CDN是为了更好的服务网络而出现的,是通过高防DNS来实现的。高防CDN是通过智能化的系统判断来路,再反馈给用户,可以减轻用户使用过程的复杂程度。通过智能DNS解析,能让网站访问者连接到...

云漫网络Ruan
今天
14
0
OSChina 周一乱弹 —— 熟悉的味道,难道这就是恋爱的感觉

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @xiaoshiyue :好久没分享歌了分享张碧晨的单曲《今后我与自己流浪》 《今后我与自己流浪》- 张碧晨 手机党少年们想听歌,请使劲儿戳(这里)...

小小编辑
今天
2.9K
24
SpringBoot中 集成 redisTemplate 对 Redis 的操作(二)

SpringBoot中 集成 redisTemplate 对 Redis 的操作(二) List 类型的操作 1、 向列表左侧添加数据 Long leftPush = redisTemplate.opsForList().leftPush("name", name); 2、 向列表右......

TcWong
今天
46
0
排序––快速排序(二)

根据排序––快速排序(一)的描述,现准备写一个快速排序的主体框架: 1、首先需要设置一个枢轴元素即setPivot(int i); 2、然后需要与枢轴元素进行比较即int comparePivot(int j); 3、最后...

FAT_mt
昨天
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部