2022年網(wǎng)絡安全和身份驗證的發(fā)展趨勢

隆雪芬

在按需經(jīng)濟中，很多用戶希望能夠與他們的服務提供商互動（無論是流媒體服務、在線零售商還是銀行），并且只需點擊鍵盤和鼠標就可以輕松完成。而新冠疫情帶來的遠程工作加速了這種需求。

很顯然，客戶行為上的許多變化都將繼續(xù)存在。Sinch公司在2021年進行的一項消費者研究發(fā)現(xiàn)，58 %的受訪者表示將繼續(xù)避免人群聚集，52 %的受訪者表示將避免出差旅行，46 %的受訪者將會減少在商店內(nèi)的購物時間。

金融服務提供商需要利用數(shù)據(jù)、人工智能和自動化來提供個性化和無縫的客戶體驗，無論客戶是在線、通過應用程序或聊天機器人，還是撥打客戶服務電話，因此面臨著越來越大的壓力。通過提供數(shù)字接觸的客戶體驗對于贏得和留住客戶至關重要。

平衡風險和用戶體驗

事實上，銀行的數(shù)字化轉型是建立在數(shù)字信任的基礎上，其中包括入職、身份驗證和支持對話。然而，銀行業(yè)在提供數(shù)字化客戶體驗方面仍然落后，并降低了客戶滿意度。

在任何情況下，驗證用戶似乎都是以犧牲用戶體驗為代價的一個安全問題，或者更糟糕的是缺乏參與度。企業(yè)可以從其他行業(yè)吸取經(jīng)驗教訓，在這些行業(yè)中，可以實現(xiàn)有針對性、但有價值的參與，盡管安全門檻較低。

對于許多企業(yè)或部門來說，確保訪問安全的首選方法是雙因素身份驗證（2FA）。身份驗證有3個公認的因素：知道的東西（例如密碼）、擁有的東西（例如硬件令牌或智能手機）以及身份（例如指紋）。雙因素身份驗證（2FA）意味著需要使用其中2個選項，而最常見的是用戶通過簡單的短信接收數(shù)字代碼。

盡管使用短信驗證實現(xiàn)雙因素身份驗證（2FA），對于使用SIM欺詐的網(wǎng)絡攻擊為者并非完全可靠，但銀行業(yè)嚴重依賴這種方法，并證明其表現(xiàn)良好，尤其是在交易批準方面。但是，金融機構的安全措施需要的不僅僅是一次性密碼。

雖然應始終使用適當?shù)纳矸蒡炞C技術，但這里要指出的是，使用短信的雙因素身份驗證（2FA）可能會以用戶體驗為代價。它會打斷用戶的流程。即使是一個簡單的過程，例如輸入一次性數(shù)字密碼，也需要用戶等待短信到達、更改應用程序、復制代碼，然后返回應用程序或筆記本電腦，并粘貼或輸入驗證碼，然后再返回。

雖然移動設施操作系統(tǒng)讓輸入一次性密碼變得更容易，而且場景切換更少，但它仍然代表著一種顛覆，而在網(wǎng)絡世界中，消費者對產(chǎn)品或服務的滿意度可能會因糟糕的體驗而降低，因此將摩擦保持在最低限度至關重要。

此外，雖然雙因素身份驗證是一種基本的安全措施，但消費者并不總是愿意使用，Yubico公司在2020年進行的一項研究發(fā)現(xiàn)，23 %的受訪者認為短信密碼非常不方便。

雙因素身份驗證的成本也可能很昂貴。它取決于移動運營商或聚合商提供的短信批發(fā)價格（在新加坡等一些國家的短信批發(fā)價格很高，因此令人望而卻步）。大型零售銀行嚴重依賴雙因素身份驗證，預計每月會發(fā)送數(shù)百萬條短信消息。而如果取消這一步驟可能意味著節(jié)省大量的成本。

采用適應性強的方法

移動設備身份驗證和全渠道參與已經(jīng)發(fā)展。新的身份驗證技術現(xiàn)在變得可用，通常是通過通信平臺啟用的API。于是出現(xiàn)了2種選擇：

數(shù)據(jù)驗證

數(shù)據(jù)驗證的工作原理是：移動網(wǎng)絡運營商在用戶使用移動數(shù)據(jù)時分配給其電話號碼的IP地址之間的相互作用。驗證的工作原理是：確認與試圖執(zhí)行驗證的最終用戶的身份相關聯(lián)的電話號碼與最終用戶移動數(shù)據(jù)會話相關聯(lián)的號碼相同。

該服務非?？欤ú坏? s）并且非常安全，因為不可能通過“中間人攻擊”或社交工程進行攔截，因為它不依賴于用戶在某些時候必須記住的任何信息。

Flash呼叫驗證

在最終用戶設備上發(fā)起和終止語音通話。主叫方號碼是從與服務相關聯(lián)的專用號碼池中隨機選擇的。智能手機會自動接聽電話，并使用主叫方號碼作為身份驗證，而不是通常通過短信發(fā)送的一次性密碼進行驗證。

與數(shù)據(jù)驗證類似，F(xiàn)lash呼叫比短信更快、通常更安全且更便宜，因為移動網(wǎng)絡運營商只是將連接確認為未應答呼叫。研究機構估計，采用Flash呼叫可以節(jié)省高達25 %的身份驗證成本，并且可以將交付速度提高70 %。當考慮一些銀行可能使用數(shù)百萬個短信作為他們唯一的客戶身份驗證渠道時，這一點很重要。還需要考慮可訪問性，這是銀行致力改進的領域，并且需要滿足合規(guī)規(guī)范。例如，對于基于短信的雙因素身份驗證（2FA），對視力受損者的身份驗證幾乎沒有靈活性。然而現(xiàn)在，電話驗證（用戶收到自動電話并讀出數(shù)字密碼）已通過通信平臺廣泛使用。

用戶體驗正成為重中之重

隨著銀行和與之集成的支付平臺越來越多地在網(wǎng)上轉移，用戶體驗正在成為頭等大事。大多數(shù)精通安全的企業(yè)都已經(jīng)明白，啟用雙因素身份驗證是保護在線帳戶的最佳方式之一。

這讓人們想到了關于Flash呼叫驗證和數(shù)據(jù)驗證身份驗證技術的最重要的一點。它們都在后臺發(fā)生，無需用戶干預。因此，它們不僅安全且便宜得多，而且是無縫的。

在不久的將來，就像許多其他即服務平臺一樣，人們可能會看到提供單一統(tǒng)一的API，這些API可以提供身份驗證，能夠根據(jù)消費者對流暢的用戶體驗、可訪問性和服務特征的期望來確定最合適的方法。帳戶注冊、交易批準或登錄，以及任何給定企業(yè)的業(yè)務目標，例如增加新銀行應用程序的成功登錄，或只是降低運營成本。