保護網銀安全:設備標識的工作原理
當銀行網站用戶在登錄的時候,會越來越頻繁地被問及這樣的問題:你在哪個城市出生?為什么會出現用戶在輸入用戶名和密碼之后不能查看賬戶信息的情況呢?這是因為銀行使用了設備標識(device identification)來保證賬戶的安全,如果用戶使用一臺以前從來沒有用過的電腦進行登錄,那么銀行會確認登錄者是不是真正的賬戶主人。
使用設備標識作為預防欺詐的策略是近來一種很不錯的辦法。由于網絡罪犯的目標是網上信用卡交易、新賬戶的注冊以及賬戶登錄,金融機構如果想確認試圖使用賬戶的人是否是用戶本人,那么需要驗證的已不僅僅是用戶的IP地址和登錄/密碼了。
設備標識是怎樣工作的?
設備標識是通過使用“設備指紋”來減少欺詐風險的:設備指紋即是一個設備標識符,它以用戶系統的IP位置以及配置的方式為基礎。這個指紋隨著時間的推移會允許金融機構分配和跟蹤“信譽值(reputation)”:即分配給用戶系統的一個風險值,它取決于數字指紋數值,以及當這個設備不在終端用戶手中時金融機構確定的風險值,這是一個從用戶交易歷史中提取的數值。
設備標識是按下面這些信息的哈希值(hashed value)為基礎創建這個設備指紋的,但是并沒有局限于這些數值:
• 地理位置屬性——基于IP地址的物理位置數值(舉個例子: IP 192.xxx.xxx.xxx =東歐)。
• 連接屬性——連接是通過一個專用的網絡連接(比如一個Citrix服務器)還是一個普通的因特網連接?
• 時間和時區屬性——進行了多少次連接嘗試,連接嘗試之間的時間間隔又是多少?還有,連接嘗試是在什么時候發生的(比如,最終用戶所在時區的早上2:00)?
• 網絡路由屬性——網絡流量是怎樣路由的(例如,通過不受信任的網絡如中東——加勒比——美國東海岸)。
• 應用程序屬性——應用程序如何訪問網站(比如使用SSL或者沒有安全性)。
• 操作系統屬性——OS,瀏覽器,其他的系統標識符。
• 交易活動屬性——正在進行什么類型的交易(比如,轉賬,購物等等)?
• TCP協議屬性——使用什么樣的TCP協議訪問目的系統(例如,HTTP, FTP,等等)?
• 信譽屬性——先前賦給系統的值
當消費者登錄到企業的客戶端網站或者門戶網站一段時間后,設備標識應用程序開始給每個用戶生成一個信譽值。然后,設備標識應用程序會把這個信譽值跟預先設定的風險值相比較。舉個例子,設備指紋值的有一個加權和,假設是70,把這個數跟最小風險值進行比較,假設是65。如果應用程序以它的指紋值為基礎識別了用戶的系統,用戶可以繼續操作。然而,如果應用程序不能識別系統,它就會假設系統沒有通過認證,用戶必須提供一系列有挑戰性的問題的答案才能把設備添加到用戶的系統上。如果用戶不能正確回答這些問題,訪問就會被拒絕。
【編輯推薦】
