外来客网

手机银行“八大金刚”保安全


作为一个金融移动应用,保护客户资金安全作为首要任务。银行的APP如何在不牺牲客户体验的情况下保证安全?这包括交易平台从客户端到服务器端、从通讯层到应用层实现了高级别的安全认证手段。

我认为,可以使用八大安全认证方式,称之为“八大金刚”。对传统的登陆/交易密码控件进行了强化升级,并在短信验证基础上增加了手机指纹、一机一密、数据加密、通道加密、刷脸识别、手机令牌等八大安全认证方式。这种组合拳式的安全认证构成移动应用所独有的安全体系。

金刚一:增强型密码控件

密码通常是用户身份识别最简单也是最重要的一环,故对密码的保护尤为重要。密码除了常规的复杂度要求、控制暴力输入外,进一步增强了密码的加密强度,采用了256位对称密钥加高强度2048位非对称密钥的双重加密算法,最大程度上避免了暴力破解以及密钥和密码的泄漏。

金刚二:一机一密

由于移动客户端安全等级低、环境复杂,尤其是安卓(Android)市场鱼龙混杂,即便是合法的市场也有可能下载到有木马的APP。为避免非法APP佯装合法应用连接银行服务器进行数据,其中对称密钥采用一机一密方式防止暴力破解。

金刚三:手机指纹

移动应用采集手机的设备信息来构成“手机指纹”,即使非法用户利用各种渠道获取了合法用户的ID和密码也无法利用在应用中操作资金类交易。

金刚四:数据加密

为保证银行客户交易数据的机密性和完整性,在应用层面使用256位对称密钥加1024位非对称密钥进行数据的高强度加密,对称密钥一次一密,最大程度上避免交易被非法截取,纂改及二次打包。

金刚五:通道加密

互联网在客户端和服务器端的网络通讯在不安全的互联网中传输,传输过程中经过的各个节点都有可能有非法的截取,故必须采用双向SSL服务器进行通讯层加密,以保障客户端和服务器端的端到端通讯安全。通讯协议采用TLS1.2,数据由256位高级加密算法进行加密。
金刚六:刷脸识别

随着人脸识别技术的逐步成熟,尝试在个别环节使用人脸识别技术进行流程的优化,随着人脸识别率的进一步提高,未来可作为身份识别的有效技术手段。

金刚七:短信验证

作为传统的一种移动端身份验证手段,短信验证码通常与交易密码组成传统的双因素认证,既方便又快捷,得到了金融业的大量应用和用户的普遍欢迎。

金刚八:手机令牌

手机令牌作为动态令牌的一种新型认证方式,具有一次一密的特点,在客户资金变动时需要进行令牌的验证,其与短信验证相比类似的是可与手机设备进行绑定,使得一个账户、一个设备同时只能绑定一个手机令牌,不同在于令牌码可由应用进行代填验证,客户体验较好。所以,手机令牌对手机验证码既有一定的替代作用也可作为平台认证手段的进一步补充。

除了八大金刚外,还需要针对道魔此消彼涨对抗现状,不断提升安全防护能力,比如研发对基于行为分析的智能反欺诈系统,在研究通过大数据分析客户端用户的交易行为、手机使用习惯等智能判断风险度,匹配相应认证手段----这从根本上解决“客户端永远是不安全的”这个问题,也是目前欧美流行、国内互联网巨头已在尝试的方向。

引入模拟生物探针技术。原理为每个自然人都有自己的操作习惯,比如鼠标、键盘点击的频率、密码输入的速度、按键力度、按压力度、按压面积等都作为行为习惯指标。通过积累客户的这些行为习惯,可以明显的区分客户、木马、电脑或者非本人操作的特征。

为保护客户的资金,我们对安全的追求是无止境的,移动端的安全能力是必须长期持续提升,要准备随时接受互联网安全挑战和威胁。

评论 (0)