手機號副號安全嗎
城商行是我國銀行業的重要組成部分,像浙商銀行、北京銀行等都屬於城商行。本文作者下載了134家城商行的手機銀行APP,對其中的身份安全模組進行了體驗與調研,一起來看一下吧。
城商行是我國銀行業的重要組成部分,在日常生活中我們耳熟能詳的比如浙商銀行、杭州銀行、北京銀行等,都屬於城商行。全國總計先後成立過150家城市商業銀行,經過一段時間的發展合併重組後,目前仍存續134家。
在早期,城商行的業務定位是為全國各地的中小企業提供資金支援,隨著近年來我國金融行業的不斷髮展,城商行也逐步演化開始為地方居民提供金融服務,更有甚者已經將自身的業務拓展至全國乃至世界。
作為關注身份安全領域的我們,下載了134家城商行的手機銀行APP,對其中的身份安全模組進行了體驗與調研。
一、銀行業的數字化轉型
身份認證是維護金融安全的第一道屏障,以往我們去到銀行櫃檯辦理業務,都會經歷最嚴格的身份認證措施,比如透過櫃面識讀儀讀取身份證鑑別證件真偽,在結合櫃員肉眼辨別本人與證件是否一致,以此來確保我們的物理身份與金融賬戶能夠做到一一對應,從而降低洗錢、恐怖主義融資、欺詐等風險。
隨著移動網際網路時代的到來,銀行也紛紛開始數字化轉型,推出自己的手機銀行APP,使用者拿出手機足不出戶就可以辦理業務,但在數字化轉型的過程中,卻面臨著大量身份安全風險隱患。
“據中國網際網路絡資訊中心《第49次中國網際網路絡發展狀況統計報告》披露:截至2021年12月,有22。1%的網民遭遇個人資訊洩露。”
“某銀行人臉識別系統被攻破,北京李女士被詐騙人員從手機銀行盜走43萬元!”
身份安全是身份認證的基礎,身份安全的底層則是由裝置安全所建立的,沒有裝置安全,即使我們倚重的人臉識別也能被不法分子輕易攻破。
二、城商行手機銀行APP身份安全功能分類
與國有銀行不同,在我們的固有印象中,大多數城商行即便擁有自己的APP,也只是為了方便群眾辦理理財、信貸等線下金融業務,這樣一來縮小了使用者範圍,即便出現風險事件損失也能完全可控,因此城商行對於身份安全的需求並沒有股份制或國有銀行那麼強烈,然而事實真的如此嗎?
134款APP中,在應用市場無法搜到的有30家,無法直接線上開戶的有38家,另外還有9家無法登入或是正常完成認證。也就是說在這134家城商行中,超過40%的銀行都支援線上直接開展業務,比我們想象中的比重要大的多。
而且,這也並不意味著無法線上開戶的銀行就不涉及任何身份安全的風險。一樣的道理,即使你線上下完成開戶,你開通手機銀行只是為了轉賬方便,依然有人能夠繞過重重關卡直接盜取你的賬戶。
我們在往下看,57家支援線上開戶的城商行中,有47家APP具備身份安全功能,佔比82。45%。這些身份安全功能不外乎裝置管理、登入管理、支付管理、證書管理等,我們做了如下歸類整理。
裝置管理:
檢視常用裝置、常用裝置刪除、常用裝置繫結
登入管理:
密碼設定、手勢解鎖、指紋解鎖、人臉解鎖、聲紋解鎖、微信/支付寶繫結
支付管理:
交易限額、指紋支付、面容支付、藍芽U盾、安全鎖、pin碼
證書管理:
雲證書、動態令牌、芯盾
三、曾用裝置不等於可信裝置
按照裝置型別我們可以劃分為三種,
即:陌生裝置、曾用裝置、常用裝置。
根據不同的裝置型別,我們可以進行風險分級,目前少數手機銀行APP根本就沒有做裝置管理的功能,也就意味著無法對風險做進一步的細分把控,即使做了相關功能,做法上也是錯誤的。
我們調研的這些城商行APP中,全部把使用者曾經用過的裝置,預設叫做常用裝置。雖然從語言文字的邏輯上是說的通的,但是曾用裝置卻並不等於常用裝置。一旦有了常用裝置的設定,風險等級也就會對應進行降級,但我只是經常用這部手機登入我的手機銀行賬戶,並不代表這部手機就是可信任的。比如我會經常使用朋友的手機、公司的公共手機、無法時長保障安全的備用機等等。
我們也可以把常用裝置改個名字,直接叫做“可信裝置”,可能會更加直觀的理解我的意思。可信裝置應該是需要我去主動授權或繫結的,但現在銀行的做法是我登入過的即為可信,這是根本上的錯誤。
完成對裝置的分層之後,我們就可以結合其他金融科技能力,來搭建我們的風險管理體系。
四、手機銀行APP如何基於裝置安全搭建風險管理體系?
1. 基於裝置進行分層
針對陌生的裝置,我們就用最高安全級別的認證方式來讓使用者驗明自己的身份,比如需要完成人臉識別、甚至是使用NFC去完成證件真偽的辨別。
對於常用裝置,我們可以使用相對較輕的認證方式,比如輸入密碼、pin碼,完成身份二要素核驗等等。
對於使用者主動繫結過的可信裝置,則透過最基礎的方式來進行認證,比如指紋、手勢碼等等。
這裡是基於裝置本身做的風險分層,我們也可以透過不同場景,進一步分層。
2. 基於場景進行分層
比如,登入是一個相對來說風險較輕的動作,可以透過低風險措施完成認證,比如常見的指紋、手勢碼登入。
檢視賬戶餘額,更新身份資訊等操作,屬於較高一層的風險操作,可以輸入密碼、pin碼等方式完成認證。
轉賬、購買理財產品等場景,屬於最高風險操作,必須採用最嚴格的核驗方式,完成核驗或對應進行風險降級。
如果
將這兩個維度進行組合,我們就形成了一套基於安全裝置管理的數字銀行全場景身份風險控制方案。
此外,我們也會發現,當前的城商行APP中,大多是基於裝置號去做的裝置管理,這種方式其實也不太適用當下的環境。
隨著個人資訊保護法、反電信詐騙法的相繼出臺,對使用者資訊的獲取及濫用進行了有效控制,裝置號也屬於個人身份敏感資訊,在可以預見的將來,一定會退出歷史舞臺。我們近年來也一直在尋找解決方案,並且近期也發現了一種不依賴裝置號資料也可以完成裝置管理的方法,可以關注我之後的文章。
本文由 @薇笑時好美 原創釋出於人人都是產品經理,未經許可,禁止轉載。
題圖來自 Unsplash,基於 CC0 協議。
該文觀點僅代表作者本人,人人都是產品經理平臺僅提供資訊儲存空間服務。