首页 >> 通信网络安全频道 >> 行业动态 >> 正文
 
密码真会寿终正寝?看如何用大数据做安全
http://www.cww.net.cn   2013年5月14日 12:04    

看大数据在互联网风控中的应用:通过设备行为分析降低支付风险

看大数据在互联网风控中的应用:通过设备行为分析降低支付风险章建军

从2012年起,大数据的话题在中国互联网以及各个行业开始大热,据说2013年已经被国外媒体称为“大数据元年”。除了最常规的用户挖掘、广告价值提升,大数据被用来制作热门电视剧,建设医疗机构,甚至帮助奥巴马连任等各种神话已经层出不穷。但互联网最最基础的一项工作——安全工作,似乎一直跟这股潮流没什么关系。

很多人的印象中,互联网安全无非就是装个杀毒软件,网上支付的时候最好再拿个硬件盾(U盾)心里才能踏实点。一出问题,得出互联网始终还是比传统世界不安全的结论,那是必须的。我们搞互联网安全的,有那么没有技术含量吗?这里简单给大家介绍下网上支付控制风险的一个利器——正是现在所有人热捧的大数据。

传统安全认证方式及其问题

之前有人说“在互联网上,没人知道你是一条狗”,这种“身份不确定性”对于互联网金融服务来说,是一个永远的风险。网络钓鱼、木马传播、账号窃取等带来的盗用和欺诈都是这种风险的直接体现。

所以,就有了人们最熟悉的几种安全认证手段:一是用户所知道的东西,比如密码;二是用户所拥有的东西,比如数字证书、硬件盾。他们的本质都是,当支付服务接收到支付请求时,为了减低支付风险,服务端要先确认支付发起者的身份是合法的。

但以上两种方法都会遇到一些障碍,比如密码容易忘记,有些人所有应用都用同一个密码,密码还可能存在泄露的风险。这一点,2011年底的CSDN密码泄露事件就给了所有人一个警示。

数字证书和硬件盾的问题在于,更换电脑或者重装系统之后,电脑中没有数字证书,用户就会无法支付,而硬件盾可能丢失或者损坏,发生这种情况,用户也会无法支付。这也是至今很多用户都没有选择这些安全产品的原因。

第三种现在广泛使用的安全认证方式是手机检验码。 用户在电子商务网站、网上银行或者第三方支付网站预留手机之后,就可以在需要进行身份确认时接收动态验证码。 手机有良好的携带性、私密性,手机短信的达到率可以达到90%以上。因此手机短信动态验证码被电子银行和第三方支付大量使用。

在手机短信验证码被大量使用之后,不法分子也开始针对性的展开攻势。钓鱼网站、电话的方式骗取验证码甚至成为一个黑色产业链,对电子商务环境造成很大的负面影响。

举个真实的案例,支付宝为了防止不法分子冒充工作人员向用户骗取手机校验码,曾经在发送短信校验码的短信文案中明确写到“淘宝或支付宝工作人员不会向您索取短信校验码”。有一次,一位用户接到一位假客服的电话,假客服以帮她处理交易为由向她索取校验码,这位用户跟假客服说,“短信里面说了工作人员不会向我索取短信校验码的。”假客服可能也是灵机一动,回答说,“我不是淘宝和支付宝的,我是卖家。”这位用户就把校验码告诉假客服了。为此,支付宝只好更改了短信校验码的文案,明确说明“任何索取短信校验码的行为均是诈骗行为。”

即使这样,用户被骗取短信校验码的情况还是不能绝迹。因为这类非法骗取验证码的行为很多是有组织的实施,加上受害者的防范意识比较薄弱,成功骗取的概率始终是存在的。电子银行和第三方支付想要很好的控制这种非法行为,存在很大的难度。

设备行为分析的优势:你可以易容,但你的行为特征很难改变

[1]  [2]  
关注通信世界网微信“cww-weixin”,赢TD手机!
来源:创事记   编 辑:高娟
分享到:
       收藏   打印  论坛   推荐给朋友
关键字搜索:大数据  安全  互联网  
猜你还喜欢的内容
文章评论查看评论()
昵称:  验证码:
 
相关新闻
即时新闻
通信技术
最新方案
企业黄页
会议活动