为了降低支付风险而引入了身份认证，但是身份认证过程本身也存在被攻击的可能性。那么，能否减少网络行为中的“身份认证”环节呢？

答案是肯定的。不法分子可能通过各种方式掌握你的密码，骗取你的校验码，但他要完全使自己的行为特征跟你相似，那就要难得多。就好像整容很容易，但要改变你的行为特征却很难一样。能够通过这样的数据化、技术化的手段去控制风险，这就是互联网做安全的优势。

事实上，通过对用户支付行为的习惯数据进行分析来进行身份认证，可以很好的减少在支付过程中身份认证对用户的打扰。

用户在网络上的行为都会留下“信息”，比如在什么时间支付、购物的金额、使用什么样的网络。

行为在一段时间之内形成规律，就好比某个人习惯用左手写字。通过分析这种行为习惯，就可以知道用户的真实身份。

网络行为一般包含5个方面的因素：在什么时间、使用什么设备、账号、登录什么网站、做了什么。

在网络上，一个人能获取到的设备是有限的，一般是办公室电脑、家里电脑、手机等。如果在一个“可信”的设备上登录系统，那么当前行为的可信度就较高。那么设备又是行为分析中的关键点。

我们可以给每个设备一个“可信度”，用户的行为与设备进行关联，每次用户的行为都可以动态的改变“可信度”。

一次可信的、合法的行为会增加可信度，一次不可信的、非法的行为会减少可信度。而增加和减少的“度”，是通过一套复杂的模型，采用机器学习的方式获得。这样就围绕设备形成一个闭环，“输入-处理-输出-反馈”。

除了可以改变用户直接使用的设备的可信度，甚至还可以通过“设备”与“设备”之间的关联关系动态改变设备的可信度。比如，用户A使用手机A，使用声波支付给用户B的手机B转账1000块，那么除了手机A的可信度提升，手机B的可信度也可以相应提升。 分析设备直接的关系同样也可以建立一套复杂的模型。

因为用户网络行为会映射到设备的操作行为，所以通过对设备可信度的分析，就可以知道行为的风险有多高。而且这个过程中，不需要用户主动安装数字证书或者硬件盾，不需要接收校验码，对用户的体验也会有明显提升。

随着移动互联网兴起，地理位置定位、加速度感应等成为主流智能手机的标准配置。智能设备上的传感器，就好比人的五官，不断的采集周围环境的信息，这就为设备行为的分析提供更丰富的数据。这些智能化的设备散步在世界的每个角落，分分秒秒都在生产和传输信息；未来的挑战，不是用于分析的数据不够，而在于对如此庞大数据的储存和分析能力。

通过设备行为分析的方式去控制风险，只是通过大数据的方法去进行风险控制的一种。在国外paypal就没有数字证书、硬件盾这样的安全产品，就是靠分析用户与设备的行为去控制风险。中国的环境下，用户对安全的要求更高，安全感也更差，之前国内领先的第三方支付公司更多还是采取安全产品、校验码这些用户能够明显感知到的安全认证方式。但设备行为分析这样的新方式也已经开始起步。

还是那句话，这个世界上没有绝对意义上的安全，互联网上也是如此。但不论是要降低风险发生率本身，还是要提升风控过程中的用户体验和效率，互联网的方式、大数据的方式都要优于传统方式，这就是时代进步的必然。大家既要看到问题，也要看到这样更积极的一面。