通过新版《网上银行系统信息安全通用规范》看验证码的重要性
2020年2月,中国人民银行正式发布JR/T0068-2020《网上银行系统信息安全通用规范》。
《规范》涉及网上银行系统的技术、管理和业务运作三个方面,将作为网上银行系统安全建设、内部信息安全检查和合规性审计的依据。
《规范》要求,金融机构通过交易行为分析、机器学习等技术不断优化风险评估模型,结合生物探针、相关客户行为分析等手段,建立并完善反欺诈规则,实时分析交易数据,根据风险高低产生报警信息,实现欺诈行为的侦测、识别、预警和记录,提高欺诈交易拦截成功率,切实提升交易安全防护能力。对具备频次异常、账户非法、批量交易、用户习惯偏离、用户特征偏离、非法更正交易、报文重复、金额异常、扫库或撞库等特征的请求,以及外部欺诈、身份冒用、套现、洗钱等异常情况进行有效监控,对于风险较大、可疑程度较高的交易,应采取精准识别、实时拦截等措施。
《规范》明确,金融机构应该建立基于高风险交易特点和用户行为特征等的风险评估模型,并根据风险等级实施差异化风险防控。金融风险交易监控系统应能够不断更新反欺诈规则,及时从主管部门、公安机关、银行卡清算组织等获取黑名单等风险信息;风险交易监控系统应能够实现与各金融机构、主管部门和公安机关等机构间的信息共享和信息交换。
《规范》中对网上银行验证码提出了具体要求。要求网上银行的验证码应随机产生,采取图片底纹干扰、颜色变换、设置非连续性及旋转图片字体、变异字体显示样式、交互式认证等有效方式,防止验证码被自动识别。 验证码应具有使用时间限制并仅能使用一次。
网上银行的验证码有什么作用
验证码的全名是“全自动区分计算机和人类的图灵测试”,利用“人类可以用肉眼轻易识别图片里的文字信息,而机器不能”的原理来抵御恶意登录, 通过识别、输入这些交互,区分出机器人和真正的人类,防止恶意攻击或者刷号情况的产生,在注册、登录、交易等各类场景中都发挥着巨大作用,并且在不断进化中成为网络中始终不可或缺的技术。
验证码能有效防止对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试,实际上用验证码是现在很多网站通行的方式。 主要用于网上银行、手机银行的注册、登录、数据保护等方面,是身份核验、业务风险防控的第一关口。
- 保护账户安全:能够有效避免因恶意登录导致的密码泄露、账户暴力破解、信息被爬取等风险事件的发生。
- 提升营销精准度:体验良好必须要做到对“好”客户影响程度最低,对“坏”客户发现并阻断效果最好,在极端情况能够保障“好”客户不被打扰。在现在金融业大力发展获客形势下,想要吸引、留存客户就必须给客户良好体验。
- 保障平台数据安全:恶意爬虫爬取、盗用、盗取的爬取数据行为,不仅造成金融机构隐私信息和数据资产损失。验证码能够防止程序恶意大量高频的调用,给服务器造成很多无效的注册或登录,占用大量的系统资源,增加系统很多垃圾的注册和请求信息。同时防止数据泄露。在数字化的今天,数据是企业重要资产。
根据国内268家商业银行披露的数据显示,在6家国有银行、12家股份制银行、134城市商业银行中,使用验证码进行在线反欺诈的银行分别为59%、58.3%和17.2%。
基于人工智能的顶象无感验证
顶象无感验证基于用户行为及环境信息等数据信息,结合模型和风控分析,能够有效防范恶意破解,保障客户信息安全,有效防控各类业务风险威胁。
顶象“无感验证”顶象无感验证集设备指纹、行为校验、操作校验、地理位置校验等多项功能与一身,能够实时判断注册登录账户的是否为真人,有效防范程序化的批量注册、黑客恶意登录、网络非法爬取等欺诈风险。 它独有的专家策略,能根据校验结果给出综合建议,让合法用户无需验证、可疑操作二次验证、风险操作直接拒绝。让真正的用户无感通过,让非法的请求无法通过,提升业务交互体验的同时也提供安全保障。
顶象无感验证采用多节点部署,上线简单快捷,提供数据存储以及中间件。能够应用在H5/Web形式的网上银行、电子银行、公众号还是APP形式的手机银行、直销银行、信用卡APP亦或是微信公众号上,能够为注册、登录、营销、交易、贷款申请、信用卡申请等各种业务场景提供集客户体验和风控安全的验证服务。 例如,在直销银行App上,能够有效防范客户权益被黑灰产秒杀;在手机WAP登录、营销活动场景中,有效防范营销推广作弊;在业务申请登录场景,有效防范恶意欺诈骗贷等。