通过网上银行服务,银行力求减轻网点服务市民的工作量,旨在减少在网点实体服务的客户数量。
自从这种服务形式存在以来,银行一直在寻找简单密码之外的安全方法,以便在进行交易时,特别是在向其他人的账户转账时,验证客户的身份。
开始研究多因素认证的概念,推广使用2因素认证,即2FA(2 Factor Authentication)。后者包括使用两个因素来验证一个人的身份;最常用的两个因素是该人知道的东西(如密码或个人识别码)和该人拥有的东西(可以证明或展示其存在的物品)。
刚开始的时候,有银行给每个客户的有效交易授权号或TAN(Transaction Authorization Number,交易授权号)清单就够了,他在转账时必须依次使用。后来他们改用坐标卡,虽然也是物理资源,但比原来的清单更灵活。
但是,这些形式很快就开始遭受用户自身滥用造成的淘汰,当然,犯罪分子也不甘落后。用户会丢失它们,并复制它们的名单和坐标卡,这样,原来的安全对象就会存在不止一个实例,他们甚至会将图像保存在电脑上,进一步破坏整个安全计划。
在这之后,银行不断发展,采用了新的方式对客户进行在线认证,超越了密码。第二个因素的形式是银行系统在登记客户的手机号码后,通过短信(SMS)向试图进行转账的客户发送的数字序列。原则上来说,这似乎是非常安全的,因为客户的手机是平时只在自己身上的东西,因此在客户进行网上转账时让他们在场,似乎是顺理成章的,也是安全的。
问题是,犯罪分子总是想滥用新的防御手段,这次也不例外。因此,很快,利用不同的欺骗技术,让设备处于攻击者的控制之下,入侵手机成为常见的事情。这样一来,攻击者就有可能获取收到的短信内容等。此外,通过社会工程,所谓的SIM卡交换在世界许多地方变得很普遍,这种攻击形式包括通过电话服务运营商本身获得用户SIM卡的副本,从而设法接收到向该号码发出的所有信息和电话。
报道称,这促使全球越来越多的银行,尤其是现在许多德国银行(包括公共和私人银行)已经决定明确停止使用短信作为第二认证因素。
他们做出这个决定的依据是考虑到通过短信收到的代码不再被视为一种强有力的认证形式,因为它不再是你拥有的东西,而是你知道的东西,类似于密码,从而破坏了双因素的概念。
Adicionalmente, se están alineando con lo que se establece en la Directiva de Servicios de Pago de la Unión Europea 2 (PSD2) la que obliga a que las transacciones electrónicas remotas realizadas por parte de consumidores de la UE se autoricen mediante una «autenticación fuerte del cliente» (SCA), lo que significa el uso de 2 o más factores, categorizados como conocimiento, posesión o inherencia.
从这个意义上说,从安全顾问公司开始,我们正在推广使用OneSpan(前VASCO)技术,我们是其认证渠道。在这一产品线中,我们为银行机构提供了实施极其稳健的第二因子解决方案的可能性,该方案基于高安全性的加密算法,在一次性使用的密码生成设备上实现,有物理和虚拟两种形式。后者可以采用品牌提供的基本格式的移动设备高度安全应用的形式,或者由银行通过为此提供的SDK进行开发。
开发一个专有的应用程序,使机构可以实现他们的移动应用程序(app),具有他们想要的和认为方便的所有业务功能,同时在其中嵌入一个一次性使用的密码生成器组件。
这些应用,无论是OneSpan提供的应用,还是各机构可以开发的应用,都具有防止被潜在的犯罪分子感染其操作的移动设备而泄露的防御功能,从而确保客户授权的交易安全。
我们邀请您向我们咨询,以了解更多关于这项技术的信息,并了解您的机构如何从采用这项技术中获益,因为根据以下报告,点击这里,使用SMS的安全性非常低。
作者:
Hugo Köncke - 安全顾问的区域咨询经理
连接