观点 | 借助生物识别技术保障移动支付信息安全
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国人民银行新宾县支行 王勇 常树德 孙家闱
移动支付在我们生活中日益重要,现在越来越多的人采取无现金支付,人们在出门旅游、购物、住宿等活动中只是简单的扫描二维码就能支付相关费用。同以往现金支付相比更加便利、方便,减少了携带现金的烦恼和支付零钱的麻烦。但是我们也不得不承认移动支付在我们国家才刚刚起步,发展十分迅速,在发展过程中也伴随一定问题出现,尤其是信息安全方面的问题。
移动支付总体情况
移动互联网和智能手机的发展,带来了移动金融的高速发展,根据《2020中国电子银行调查报告》显示,2020年三季度全国个人手机银行的用户3.5亿,环比增长6.1%,2020年个人网上银行用户比例达59%,较2019年增长3个百分点,而个人手机银行用户比例依然保持着较高的增长速度,2020年增幅达到8%,用户比例达到71%,同比增长12%。根据扩散理论,手机银行已经跨过“起飞点”,进入快速发展快车道。
中国人民银行发布的《2020年支付系统运行总体情况》显示:2020年移动支付笔数1232.20亿笔,总金额达到432.16万亿元,同比分别增长21.48%和24.50%,远高于网上支付12.46%和1.86%的增长比例。中国银联2020年移动支付安全大调查统计数据显示,手机支付是最受大众喜欢的支付方式。
在移动金融高速发展的同时,移动金融的安全环境令人担忧。《2020中国电子银行调查报告》显示:用户不愿意使用手机的最主要原因是担心不安全。中国银联《2020移动互联网支付安全调查报告》显示:移动支付传统验证受到冷遇,生物识别受到青睐,到2020年末传统密码验证使用比例比2016年下降25%,动态验证比2017年下降20%,使用生物识别比例大于48%。
国家计算机病毒应急处理中心2020年发布的《第十九次国家计算机病毒应急处理中心全国计算机病毒和移动终端病毒疫情调查分析报告》中显示,“信息安全领用问题日趋复杂”,不法分子利用钓鱼网站瞄准手机支付用户群体,通过仿冒移动应用、移动互联网恶意程序等手段,犯罪分子在境内外对移动客户进行欺骗和攻击,移动安全已经成为金融领用重点防范的领域。
移动金融面临的典型安全问题
近些年移动金融的迅猛发展也面临着信息安全方面的巨大挑战,犯罪分子已经从以往的使用暴力手段转向通过高科技技术进行金融犯罪和诈骗,移动支付面临:恶意软件、涉及网络信息和用户身份识别的漏洞方面的信息安全挑战。
1.恶意软件。在移动终端中,以木马为代表的远程控制程序危害范围最为广泛,它们多被夹在许多恶意的银行软件包中,当诈骗犯窃取用户信息的时候,这些程序不注入代码,不在运行程序列表中,不以任何方式操纵对话界面,只是在后台获得安卓设备的远程管理控制权,所以造成动态的恶意软件检测工具无法检测到这些远程控制程序。尤其是2016年以来,通过远程控制程序接入技术实现移动支付诈骗的情况越来越多,例如针对金融机构的恶意木马Dyre、Dridex和Neverquest等。它们利用虚拟网络控制台(VNC)与金融机构服务器建立后台连接,由于虚拟网络控制台VNC和RDP远程管理功能可以用来良性使用,所以部分安全监测软件对于远程访问程序的监测结果倾向于“假阳性”,造成大部分恶意程序逃避了移动应用程序检测,形成了安全隐患。
2.利用社交网络信息。金融欺诈中最薄弱的环节是最终用户,根据《中国网络诈骗犯罪大数据研究报告》显示,网络社交工具和电子商务网站信息泄露事件中,已被公开并证实的个人信息多达11.27亿条。利用社交网络信息通过登录认证验证很难被检测到,常规的安全控制无法阻止欺诈行为的发生。
3.利用用户身份识别漏洞。目前,手机短信验证仍然是最普遍的手机银行验证形式,出于这个原因,有些设备没有密码保护,一旦设备落入不法分子之手,看似可靠的设备将不再安全。
综上,解决这些问题的一个好方法是使用生物识别技术,分析常规用户的行为,然后判断该设备是否由常规用户所掌握,人脸别就是在这种背景下诞生的一种生物识别技术,对移动金融的信息安全保驾护航。
发挥生物识别技术特性,
提升移动支付的信息安全能
1.在法律法规层面上保障生物识别技术在实践中的应用。生物识别,是基于人的身体特征信息进行身份识别的一种技术。在移动金融中得到了很好的应用,为了进一步把握生物识别技术在金融领域的应用推广,国家出台了一系列政策予以支撑。2015年以来,我国相继出台了《关于银行业金融机构远程开立人民币账户的指导意见(征求意见稿)》《安全防范视频监控生物识别系统技术要求》《信息安全技术网络生物识别认证系统安全技术要求》等法律法规,为生物识别技术在金融等领域的普及奠定了重要基础。2017年,人工智能首次被写入全国政府报告;同年7月,国务院发布了《新一代人工智能发展规划》;12月,工信部出台了《促进新一代人工智能产业发展三年行动计划(2018-2020年)》,其中对生物识别有效检出率、正确识别率的提升做出了明确要求,生物识别获得的国家政策支持显而易见。
2.加强隐私保护、保护消费者合法权益。加强生物识别数据采集、传输、存储和使用的全生命周期管理,利用安全芯片、加密算法等技术手段加强人脸、指纹等特性数据的安全保护,防范生物特征信息泄露。督导从业机构强化内控管理,完善生物识别金融应用相关业务规则,明确应急处理、退出机制,通过相应的风险补偿措施确保突发事件发生时,消费者合法权益得到有效保障。
3.生物识别是远程身份确认的关键技术保障。身份确认是金融体系中的重要环节,以往金融机构确认客户身份需要客户到柜台进行面对面的确认。手机银行、移动支付等移动金融安全问题核心是远程身份确认。目前金融业务客户端是手机APP方式,使用密码进行登录,但密码登录的缺点是密码容易被剽窃,手机容易被黑客程序攻击,远程身份仅靠密码识别极其不安全。而人体的生物特性相比传统的密码等,有着长期相对问题,特征不变的特点,个体之间差别明显,不会遗忘、丢失、失窃,在远程身份确认的场景下,生物识别技术很好地解决了密码无法解决的问题。
远程身份识别需要以下几方面的技术保障:一是特征应具备较低的敏感性;二是使用简单方便;三是用户体验要好;四是交换灵活,最大限度的降低冒充风险;五是终端设备成本一定要低。
从以上需求来看,人脸、指纹、声音等具有明显优势,其中通过采集生物特征,比对相关数据进行远程身份确认。以人脸识别为例,应用模型根据对比方法的不同,可将人脸识别技术分为1:1和1:N两种模式。其中,1:1模式也被称为人脸验证,是将人脸和人像数据库中特定的一张脸进行快速比对、验证的过程,即证明“你就是你”。1:N模式又被称为人脸辨别,是将当前人脸与人像数据库中的N张脸进行比较、匹配的过程,即证明“你是谁”。每个人的人脸具有唯一的生理特征,隐私敏感度低,不易被复制。
生物识别技术有着远程身份认证场景中得天独厚的优势:使用方便,客户只需对着手机摄像头眨眨眼、抬抬头、扭扭脸基本上完成远程身份确认,使用非常方便和快捷,仅仅一部手机就可以完成,同时数据量非常小不占用额外的带宽。除人脸识别,还有指纹识别、声音识别等,可见生物识别是解决移动金融安全的最佳方法。
生物识别技术在我国应用已经初具规模,国家在各个层面上制定了相关的政策和制度,保障生物识别技术发展。人民银行先后发布多个通知鼓励有条件的银行使用生物识别技术用于身份确认,中国银联建立了生物识别实验平台,可以为银行提供服务,公安部启动了身份认证提高法律技术保障。这些都为我国的生物识别技术快速发展提供了有力的支持,生物识别技术正在改善我们的生活,使我们衣食住行越来越方便,无现金化和数字化货币正逐步走进我们生活。
(栏目编辑:张丽霞)
(点击查看精彩内容)
● 观点 | 数实融合、安全共赢:数字化转型下的安全挑战与应对
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧