引言
移動端裝置的迅速普及除了帶來可随時随地通路業務系統的好處之外,也帶來了移動端的欺詐問題,于是身份認證就成了安全保障最重要的一環。現有的密碼認證方式種類很多,他們在安全性和使用摩擦性(即使用者體驗)上的表現各異,比如“你知”類型的密碼認證,安全性低,摩擦性大;“你有”類型中的硬體安全key認證安全性極高,摩擦性也很大;“你是”類型的指紋認證安全性居中,摩擦性小。
是否存在一種安全級别高,摩擦性又小的認證方案呢?
零因子認證(Zero-Factor Authentication)是一種使用者無感覺的身份驗證技術。相較于傳統基于密碼、驗證碼或生物識别的認證方式,零因子認證基于使用者的行為模式、裝置資訊、地理位置等資料進行自動身份驗證,不需要使用者幹預。其技術核心是通過對使用者行為和環境特征的分析,實作無感覺的認證流程,既提升安全性,又減小了使用者使用摩擦性。
下文将就零因子認證的方案、案例做一下介紹。
方案
現如今移動裝置上包含很多能提供獨一無二重要信号的傳感器,他們可以和電信基站通信、連接配接Wi-Fi網絡、和GPS通信,也能收集使用者螢幕觸點等資料。由于使用者随身攜帶,這些傳感器可以持續在背景收集可以深度刻畫使用者行為模式的資料,包括使用者行為資料和裝置資料,這些資料不僅可以用在登入過程和敏感業務通路的認證上,更可以用在被Gartner稱為零因子認證過程中,實作使用者靜預設證。
在方案實施層面,包括以下5個步驟:
資料采集移動裝置上有許多種類的信号可以用于欺詐檢測,包括:動作資料:包括滑鼠移動、打字速度等。
位置資訊資料:對于移動端來說最重要的信号是位置行為。每個人基本都會随身攜帶手機,每個人的位置移動資料都是獨一無二的,這樣就構成了一個人的獨一無二的位置行為指紋。資料顯示,90%的移動端登入發生在可信位置,在可信位置發生的95%敏感交易都是合法的。
具體來說可以使用下面這些位置資料:“ GPS
GPS信号容易被僞造,包括GPS僞造app、VPN、代理和模拟器,定位的準确性則取決于大氣條件、信号阻擋情況(在室内信号差)、接收器品質,通常定位精度在10米-100米之間。
IP位址
Wi-Fi資訊
Wi-Fi定位對于GPS性能不好的室内定位很有用,可以檢測和識别Wi-Fi網絡的聲譽和規模,以便于分析位置、裝置和欺詐活動的相關性。
藍牙資訊
藍牙的精度在1-2米,可以用于室内定位系統,智能手機可以從内置的BLE信号來确定他們的位置。
蜂窩網絡資料
基站信号可以用于地理定位,它的精度不如GPS,通常隻能精确到誤差大概在 100 米到上千米區域範圍。
單個位置資料很容易被僞造,且存在資料不準确的情況,是以“可信位置”通常需要結合多個位置資訊資料,這樣的融合資料更加精準,且多個位置資料同時僞造的難度會大很多。
終端資訊:包括硬體配置、作業系統,浏覽器資訊等。
行為模組化收集到的資料需要利用機器學習進行風險分析,而模型是核心,模組化過程包括:确定特征:特征向量即為采集的資料資訊。模式識别:基于登入地點、使用的裝置資訊和浏覽器資訊、使用者操作習慣來識别使用者。建立行為基線。
風險分析
需要基于收到的各個資料,結合使用者目前和曆史的位置行為、裝置傳感器資料和欺詐監視清單,基于一套算法實時計算出風險評分和置信度評級,以區分出合法使用者和欺詐者。
動态調整使用者的行為模式并非固定不變,比如使用者去了另外一個城市工作,使用者把更多時間放在了照顧家庭,如果不對行為模式進行調整,則可能會觸發頻繁的增強認證,影響使用者體驗。
增量學習機制
增量學習的關鍵在于每次新資料到來時,系統會根據新資料重新計算基線,并調整現有模型。這個過程并不需要全量資料重新訓練,是以可以在實時環境中高效運作。這個過程能夠在以下情況下有效調整基線:
裝置或網絡環境變化:如使用者更換了裝置、登入了新網絡或VPN發生改變,系統需要将這些變化納入使用者行為模型,而不是每次都判定為高風險行為。
位置變化:使用者在出差、旅遊期間登入系統,系統會需要把這些新的地理位置放到基線中。
操作習慣變化:使用者的打字速度、滑鼠移動軌迹等行為特征随着時間的推移可能會發生變化。
回報機制
可以通過使用者的回報來确認操作行為的正确性,進而調整基線,比如當使用者被系統要求進行額外認證時,使用者可以确認操作是否為本人執行:
确認本人操作:系統記錄此次操作為正常行為,并根據該次操作的資訊調整基線,例如新的裝置或新的地理位置。
确認非本人操作:如果使用者報告某次操作并非本人執行,系統會提高對類似操作的警惕性,并進一步收緊基線,防止未來發生類似的攻擊。
安全響應針對實時計算出來的風險評分等級,可以設計對應的安全響應政策:低風險:當使用者的行為和行為基線比對時,做零因子認證,即直接放行。中風險:可以及時給使用者發送告警資訊。高風險:觸發多因子認證或者鎖定賬号等動作。
案例
對金融保險行業來說,要保證移動端、WEB、分支機構和呼叫中心等多個管道身份安全,無論是進行轉賬交易還是查詢餘額都需要給使用者提供安全和無摩擦的使用者體驗,傳統的身份認證通常不足以在減少摩擦的前提下識别欺詐行為并保證移動端交易安全。
借助移動端網絡、位置、智能裝置資料(Wi-Fi、藍牙等),零因子認證方案可以靜默檢測賬号劫持事情的發生,能檢測諸如大規模仿真器模拟裝置指紋的攻擊,誤報率遠低于目前常見的身份認證方案。具體來說可以解決以下問題:
1)通過基于風險的認證信号解決:
無密碼登入
裝置更換
重置密碼
Email、手機号變更
2)智能位置信号可以幫助解決:
賬戶劫持保護
新賬号欺詐檢測
交易欺詐檢測
GPS僞造檢測
總結
零信任講究“持續驗證,用不信任”,但是由于持續驗證會給使用者的業務通路過程造成很多的幹擾,是以鮮有産品能真正做到持續驗證,而零因子認證技術有望改善移動端這種狀況。移動端的零因子認證方案有如下好處:
1)隻是在移動端背景收集位置資訊和裝置資料,對使用者無感。2)由于零摩擦,可以作為持續認證政策的理想選擇,提供基于風險的實時身份驗證,既可以作為主認證因子,也可以作為輔認證因子。3)安全性高,基于行為模式和裝置特征的多因子認證,由于僞造難度極大,能有效防止身份盜用和網絡攻擊。
随着資料分析技術的進一步發展,零因子認證有望未來在更多領域得到廣泛應用。
https://mp.weixin.qq.com/s/vaXFsMflgcIrPjFJRhSzrQ