“数据泄露十年”能教给我们什么
在过去的十年中,我们目睹了身份盗用的大幅上涨。 Jumio的首席技术官兼首席科学家Labhesh Patel写道,由于持续不断的引人注目的数据泄露事件,网络罪犯可以在暗网上轻松地买卖名称,密码,电子邮件地址,医疗记录等。
组织根本无法再相信在线用户就是他们声称的身份。
这导致帐户超越欺诈(ATO)的大量增长,犯罪分子使用合法但被盗的个人数据来夺取对在线帐户的控制,更改用户名或密码等信息,然后与该帐户进行未经授权的交易帐户。仅在英国,由于欺诈企图,2019年就有超过1100万英国成年人更换或取消了他们的信用卡。这相当于英国的五分之一。而且,根据毕马威会计师事务所(KPMG)最近的欺诈晴雨表报告,英国法院认为,2019年帐户超越案件增加了57%。
不良的密码卫生状况无济于事。平均而言,我们有7.6个社交媒体帐户,多个在线登录名,许多不同的电子邮件地址,而且不幸的是,通常只有几个密码可以保护所有这些个人和敏感信息。这种不良做法使消费者更容易受到ATO的影响。如果黑客将一个用户名和密码组合到一个网站,则他们可以利用漫游器执行凭据填充攻击,以使用相同的用户名/密码组合来尝试大量网站。由于密码卫生不佳,他们有很大的机会访问多个帐户。
那么,十年的数据泄露教给了我们什么?嗯,组织根本无法再相信在线用户就是他们声称的身份。当金融领域的风险如此之高,而消费者的金融生计和信用评级面临风险时,金融服务组织尤其需要寻找新的方法来对抗网络犯罪分子,以建立一个安全的生态系统。
承认需要改变
当互联网是新的但尚未掌握时,密码为王。使用基于密码的登录名是一种在年轻平台上保护机密信息的适当形式。但是,问题在于这些类型的密码本质上是不安全的,很快就会被忘记。
对于基于知识的身份验证,同样的问题显而易见。如果尚未因数据泄露而破坏密码和对假定的安全性问题的答案,那么社交媒体还可以发挥其不安全性的作用。在网络罪犯甚至试图使用不正当手段窃取敏感信息之前,我们很可能在不知不觉中为他们提供了足够的洞察力,例如姓名,电话号码,生日等,以通过我们自己的方式绕过密码和基于知识的身份验证社交渠道。
即使是基于SMS的两因素身份验证,即用户每次尝试登录安全帐户时都会收到具有唯一访问码的文本,这也具有其弱点,因为黑客很容易通过复杂的网络盗窃方法来绕过它,例如拦截4位数和6位数的SMS代码(通过手机本身的恶意软件),从而使网络罪犯可以访问和解锁用户的帐户。
这些类型的逐步身份验证方法通常被认为更可靠。但是,越来越多的数据泄露事件和不断发展的黑客技巧表明,尽管具有最初的有效性,但这些传统的安全性方法仍在受到损害,而且常常不能完全保护其用户。
拥抱验证和认证方面的创新
没有任何行业可以免于网络犯罪的束缚,但是对于许多旨在渗透并从大企业中牟利的犯罪分子来说,金融服务部门显然是目标。金融机构承受着来自监管机构和客户的巨大压力,以确保其安全参数严格。一次违规可能对他们的商业模式和客户生计造成致命伤害。尽管大型金融机构因采用新技术而相当僵化和缓慢而闻名,但如果未能部署最新的创新,则可能会发现它们在打击网络犯罪方面失败了。
网络罪犯毫不留情,而且安全,基于面部的生物识别技术并非绝对可靠。
基于面部的生物特征认证技术是一种创新的,现代的打击在线犯罪分子的方法。不仅要记住容易受到攻击的“秘密”短语,数字,SMS代码,还远远不止这些。面部生物识别技术是一种更可靠的方式来证明用户是他们声称的身份,因为它要求用户使用某种类型的生物识别技术(例如指纹,视网膜扫描,面部图或声纹)来解锁其帐户。
话虽这么说,网络罪犯毫不留情,并且安全,基于面部的生物识别技术并非绝对可靠。欺诈者已经在通过欺骗技术(例如面罩,甚至是深造技术)来挑战该技术,以规避生物特征。因此,需要进一步的复杂性才能继续阻止欺诈者,金融服务组织必须牢记这一点。不幸的是,许多活体检测技术未经认证,仍然依赖于“诉说”,例如眨眼,点头和其他验证提示,所有这些都可能被伪造品欺骗。
这就是经过认证的活动检测的来源-通过利用人工智能和自动化,这些解决方案能够检测高分辨率的纸张和数码照片,数字深层假货,纸面罩,市售逼真的玩偶,甚至乳胶和硅3D面罩,所有这些网络犯罪分子已经使用它来绕过基于生物特征的身份验证。
但是,基于面部的生物特征识别技术与经过认证的活动检测相结合,不仅可以在入门阶段保护现代企业和客户,还可以做更多的工作。它也可以用于在更加不稳定的情况下对用户进行重新认证,例如电汇或密码重置尝试,在这种情况下,基本的用户名和密码认证不是可靠或充分的防御措施。
技术的进步使消费者能够以以前无法想象的方式进行金融活动,例如从舒适的沙发上申请银行帐户。但是,要使我们真正融入网络世界并在其中蓬勃发展,金融服务组织必须确保其生态系统安全可靠,能够抵御当今的威胁。通过这种方式,面部生物识别技术,经过认证的活动检测和AI的结合已成为一种节省的选择。认识用户的唯一真实方法就是声称自己是谁。希望在数据泄露的十年之后,接着是生物识别技术的十年–引领数据安全和互联网安全的新时代。
Jumio的首席技术官兼首席科学家Labhesh Patel