客观来看,在线支付认证Keypasco这一方案引发了一个值得深入思考的问题,即我们是否为了安全而需要在硬件上不断的升级和投资,能否通过云端服务的新方式低成本又较好的实现在线身份安全认证?
在线支付安全问题大家关注已经很多,简要总结一下,以下三个方面可以看到在线支付的安全性在未来几年可能会成为有增无减的越发头疼课题。
一是在线支付用户数量的不断增长。CNNIC发布的《第30次中国互联网络发展状况统计报告》显示,截至2012年6月底,中国网民数量达到5.38亿,手机网民规模达到3.88亿,其中网络购物用户规模达到2.1亿,网民使用率为39.0%,四成的网民已经在使用网络购物和电子支付等方式,网络、智能手机、PAD等网络终端已成为大众日常生活和购物支付的重要工具。这么多的用户,并不能确保每个人都会应用安全的支付工具、有足够强的安全意识、能够在安全的环境下进行支付。
二是芯片卡迁移趋势的加快。全球除了美国外,芯片迁移已经是支付卡行业基本的共识和行动。在中国,2011年3月人民银行发布64号文件,提出了金融IC卡迁移的时间表,要求2011年打开局面,2012年扩大应用,2013年规模发卡,2015年全面实现,正式启动芯片化迁移。今后在芯片卡片和现场交易交互的情况下,支付的安全性是基本能够得到保障的,那么,传统针对磁条卡的欺诈和风险,势必随着在线支付的发展而直接迁移到网络上,金融IC卡的迁移也意味着风险的迁移。
三是在线支付欺诈手段的防不胜防和不断翻新。网络空间的虚拟性、间接性、广泛性、快速性等特征,一方面使得欺诈行为难以被发现,另一方面即便被发现了,查找的成本也很高,时效性差。而且,很多行骗者一次得手后,换个马甲再出来,成为打不死的小强。
据统计,在过去一年间,在有网购经历的网民中,31.8%的网民曾直接遭遇诈骗网站,网购遭遇诈骗风险的网民规模达到6169万。保守估算,每年因诈骗网站给网民造成的损失不低于308亿元,对比2011年我国在线购物市场交易额7566亿元,在线支付诈骗损失率达4.07%,这要在传统的磁条支付卡线下支付行业,就是整体风险都达到了高风险商户的水准(4%)。
五花八门不离其宗的手法
我们日常也都听到看到,不断出现一些支付案件,对在线支付业务和用户个人都造成很大影响。在线支付形式多样,环节很多,包括客户端、电子商务网站、电子支付平台,一直到银行,从现在的情况来看,安全问题更多的还是集中在客户层面或交易界面,导致用户支付信息被泄露而发生欺诈。目前常见的欺诈手法包括:
1、制作钓鱼网站或虚假的电商网站,通过中奖邮件、访问跳转、形色诱惑等各种手段诱骗客户登陆钓鱼网站盗取客户信息,得到用户名及口令后即到真实的银行网站进行转账或支付。
2、通过木马病毒窃取文件证书或盗取网上银行账号及密码,从而进行冒名转账、复制卡等盗用客户资金。
3、破解用户“弱口令”窃取资金,利用部分用户贪图方便、设置“弱口令”的漏洞,随机的扫号,导致密码简单的用户账户被盗。
4、杀“熟”。获知某人的卡号、生日、手机号等信息后,冒名尝试登陆。
此外,还有其他各类诈骗手法,目的无外乎获取卡号、密码等支付信息。根据CNNIC《2012年中国网络支付安全状况报告》,网上支付用户遭遇支付不安全事件比例为3.2%,与之前所计算的4%在线欺诈损失率差别不大。其中,钓鱼网站诱骗支付占首位。有3.2%的网上支付用户表示自己最近半年曾经遇到过支付不安全事件。用户遇到的最主要不安全问题是遭遇虚假网站欺骗后贸然支付,有64.4%的比例;第二位的是支付账号或密码被盗,有19.2%的比例。遇到支付不安全事件的用户中,40%有实际的资金损失。
为防范在线支付风险,2011年6月,支付宝联手百家公司成立安全支付联盟,保障用户权益。安全联盟成员包括银行、安全公司、浏览器、第三方支付、电商企业等横向产业链成员。安全联盟旨在将通过成员间共享技术、数据、情报,实现更为紧密的合作,在产业链各环节对支付安全严密保护,打消公众的疑虑,助推中国电子商务产业的发展。然而这种松散型的联盟,固然会通过两两之间或一对多之间的合作来实现一定程度的风险防控,但从行业角度而言,并没有出现实质性的风险防范手段或技术的革新。
身份认证仍是关键
无论是线上还是线下交易,要做到真正安全,就要确保在两个核心问题上的保障。
第一,对交易者身份的确认,这一点来说,线上线下交易有着根本的区别。线下交易以卡为基础,无论是凭密交易,还是签名交易,持有卡片交易、完成密码或签名就代表了本人,这样在安全责任界定上就没有问题。当然,磁条卡因为信息存在被侧录的可能性,致使身份认证也受到更大威胁,因而,磁条的芯片卡将增强对线下交易交易者身份的认证。对比起来,线上交易无卡无磁无芯片,身份认证就更加重要,最传统的认证方式包括银行柜台签约+密码支付,单一密码验证支付已经成为比较脆弱的验证方式了。
第二,对从商户、终端开始的交易参与环节的确认,保证交易信息在各环节的完整性、保密性和不可否认性,保证信息不被篡改、不被泄露、来源合法。在这点上,支付卡行业已经形成了较完善的加密处理技术标准和实践,分层密钥体系、SSL加密、3DES加密、PCI认证、银联账户信息安全标准等。在线支付中,主要通过数字证书来实现确认,或者是银行、支付机构自主发放数字证书,或者是权威第三方认证机构发放数字证书。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。从实际来看,国内还尚未出现大规模因支付机构原因导致的持卡人交易信息泄露事件。
目前提高在线支付安全性、加强身份认证的基本思路都是从交易者输入信息的那一刻,就确定交易者的身份,并将交易信息全程保密处理。国内最常用的是动态口令和数字证书两种多因素认证方式。动态口令或动态密码可以通过令牌(大部分是银行)或手机方式(如支付宝的手机ME令、银联在线的手机短信动态码)提供,目前来看还相对安全,主要风险是遗失手机;数字证书则是给用户发放一个唯一的数字证书作为用户的身份凭证,并基本实现移动数字证书(USB Key,U盾等),证书方式认证的不便在于需携带,且需要在已安装证书的终端使用,而且有一定成本,U盾本身的安全性并非无懈可击,也是需要不断升级的。庞大的用户数量可能导致更换U盾成本高昂的无底洞。
KeyPasco,基于云端的多因素机制
今天和今后的互联网服务都需要解决用户的身份认证,即你是谁这一关键。没有好的在线安全解决方案,不解决在云计算服务提供时代用户安全性的问题,号称互联网第三次变革的云计算就不能真正的起飞,没有好的在线安全解决方案,用户上网就是中存在隐忧,而网络实名制和个人隐私保护的需求都在持续的增长。
Keypasco安全认证解决方案由曾创办网上银行安全认证知名企业Todos的创始人林茂聪等提出,用他的话说,要革自己的命,过去他用硬件Token作为身份认证,现在则走向纯云端架构,以服务为主题实现同样的目标。他认为,近年来云端概念服务逐渐成形,移动设备的概念也更加成熟,才可能出现这样的商业运营模式,以摆脱Todos过去存在的一些拼镜,例如成本高、推广难、一旦被破解就需要马上大量更换设备等,更重要的是,採取硬件身份认证的概念将难以在云端环境中被使用。
简要的来说,Keypasco想解决的问题很简单,其一是确保用户的支付卡只有在其所在的地方才能使用,那么就不会有信用卡被盗刷的可能;其二只有用户能在自己的终端设备上登陆自己的账号 。这意味着全世界70亿人口中,包括用户本人,除了用户自己的终端设备,没有人可以在全世界其他100多亿的设备中,登陆用户的账号。
这样,Keypasco提供的认证方法是:在用户名和密码的双因素基础上,增加了可绑定的个人终端设备ID、地理位置定位,甚至是上线时间,再加上消费者行为分析相关的风险评估机制(可以分析其他用户是否尝试通过其他终端登陆用户账户),采取多重因素认证方式提升安全性。
为了安全因素与保护客户隐私,Keypasco运用云端资源,通过加密的分散式存放等方式存放用户登记信息。用户只有通过所绑定的一台或多台终端,在自己提前设定的地理区域,以自己的身份登陆,所有的访问和尝试登陆日志都会保留在系统中,用户可以方便查询。由于这一认证方式基于软件和云服务实现,成本极低,在没有大规模增加成本的前提下提高了整个行业的安全水平。
用户操作起来也比较方便,第一次使用某一终端简单的注册登陆,用户即被赋予一个唯一的Keypasco ID,登录设备也被赋予一个唯一的设备ID,两个ID及设备本身在今后的登录中即被关联,其后进入系统可设定绑定其他设备、使用区域等。提供该服务的支付机构或网络服务提供机构可以在其中设定自己的风险规则,确定某些情况下的风险阀值和使用要求。应该说,Keypasco基本在不太改变用户现有习惯的基础上,以云端认证单点登陆的方式,确保了用户身份的合法性。
在电子支付之外,电子商务公司、网络游戏、网上银行、电子政务等运营机构,均可使用这一身份认证方式以确定和管理其客户身份,台湾已经有游戏公司在使用这一方案,效果良好。客观来看,这一方案引发了一个值得深入思考的问题,即我们是否为了安全而需要在硬件上不断的升级和投资,能否通过云端服务的新方式低成本又较好的实现在线身份安全认证?