禁止公共事業公司在寒冷的冬季阻止新客戶加入的嚴格規定，促使中西部地區的石油公司利用基于知識的認證（KBA）來鏟除欺詐者。

一個不愿意透露名字的公司告訴我們它們經歷過在冬季來臨前突然涌入大量新客戶的事情。一旦讓基于知識認證的系統良好運行，呼叫中心接線員就將為注冊新賬戶的用戶提供一系列多選問題。那些能回答問題證實身份的人可以獲得服務，而那些試圖通過假姓名激活過期賬號的欺詐者將很快被鏟除。

RSA身份和訪問保證組的市場營銷高級經理Joram Borenstein說，“拖欠大筆費用的用戶試圖讓他們的服務在冬天被重新打開”。EMC的安全部門RSA提供認證服務?！半m然現在很難拒絕別人的熱情，但如果有人試圖欺騙系統，這是不可以的?！?/P>

基于知識的動態認證，為許多金融公司提供了一種在高風險交易前驗證用戶身份的技術，目前越來越廣泛的應用于電子商務網站、醫院和電信公司。

隨著這項技術變得更加成熟，這項技術會被用來認證更多的人和企業，同時大家會發現一些基于知識認證系統返回的問題有點過于深入。為了消除誤報，軟件算法中用來創建核實的問題需要保持尖銳，數據源從信用局信息到房屋銷售數據。Ezzie Schaff認為社交網絡是下一個數據源，并可能引起隱私權倡導者的注意。

在線珠寶商lce.com的風險管理副總裁Schaff說，他一直以來都非常謹慎，他公司的16個呼叫中心接線員不會因為詢問隱私問題而嚇跑客戶。Schaff說，他雇用接線員前都要進行背景調查，如處理信貸申請的時候是否使用基于知識的認證。拓展培訓也可以幫助接線員明白什么時候適合提問，什么問題太深會觸及客戶的隱私。

Schaff說，“隨著代理服務器和代理IP的出現，人們越來越容易掩飾自己的ID和位置，所以我們必須確認他們是本人。與此同時，我們不能惹惱客戶。這是一個很考驗人的工作?！?/P>

RSA在2007年收購了Verid公司，該公司采用挖掘數據庫和使用專有的算法提出核查問題。 RSA的Borenstein說，公司正在擴大其數據源，它最近又增加了輪船、飛機銷售和租賃數據庫中的數據。但他沒有談到未來將從社交網絡挖掘數據。

社交網絡本身并沒有保留帳戶持有人的大量記錄，但Twitter、Facebook和LinkedIn與第三方分析廠商合作，如Omnitur（現為Adobe Systems的一部分）、DoubleClick和谷歌分析——這些公司都利用瀏覽器Cookie，瀏覽器Cookie可以用來為用戶建立唯一的個人資料。

去年夏天，Worceste理工學院（WPI）和AT＆T實驗室的研究人員進行了一項研究，發現社交網絡無意泄露了用戶身份。該研究讓隱私保護者們擔心，帳戶號碼可以與瀏覽數據結合，保留在數據庫中。電子前沿基金會的技術人員Peter Eckersley說，這項研究是隱私受侵害的一個例子，大多數人甚至不知道到他們的互聯網活動被進行了跟蹤。

基于知識的認證（KBA）技術是通過開采第三方分析公司的數據，還是以某種方式挖掘個人在Twitter、Facebook和其他網站呈現的數據，來滲透進用戶的上網行為，這仍有待觀察。不過，RSA的競爭者TriCipher也了解到未來的認證將會越來越個人化。TriCipher業務發展和產品管理副總裁Vatsal Sonecha說，圖書館或錄像出租記錄可以提供寶貴的數據以幫助核查個人身份。但是Sonecha也說，目前“此方法還沒有被大規模的利用。”

Burton集團的高級分析師Mark Diodati說，“由于基于知識的認證問題更私人化，應用這項技術的商人和其他用戶必須對這些私有數據負責，否則將面臨失去客戶信任的風險”。Diodati說，“呼叫中心接線員不必用太敏感的尖銳問題來詢問客戶，他們可以設置一些不那么敏感的基于知識的認證系統問題?！?/P>

【編輯推薦】

1. 新的Flash隱私設置將影響客戶認證
2. 身份認證與安全一線牽