章建軍
從2012年起,大(dà)數據的(de)話題在(zài)中國(guó)互聯網以(yǐ)及各個(gè)行業開始大(dà)熱,據說(shuō)2013年已經被國(guó)外媒體稱爲(wéi / wèi)“大(dà)數據元年”。除了(le/liǎo)最常規的(de)用戶挖掘、廣告價值提升,大(dà)數據被用來(lái)制作熱門電視劇,建設醫療機構,甚至幫助奧巴馬連任等各種神話已經層出(chū)不(bù)窮。但互聯網最最基礎的(de)一(yī / yì /yí)項工作——安全工作,似乎一(yī / yì /yí)直跟這(zhè)股潮流沒什麽關系。
很多人(rén)的(de)印象中,互聯網安全無非就(jiù)是(shì)裝個(gè)殺毒軟件,網上(shàng)支付的(de)時(shí)候最好再拿個(gè)硬件盾(U盾)心裏才能踏實點。一(yī / yì /yí)出(chū)問題,得出(chū)互聯網始終還是(shì)比傳統世界不(bù)安全的(de)結論,那是(shì)必須的(de)。我們搞互聯網安全的(de),有那麽沒有技術含量嗎?這(zhè)裏簡單給大(dà)家介紹下網上(shàng)支付控制風險的(de)一(yī / yì /yí)個(gè)利器——正是(shì)現在(zài)所有人(rén)熱捧的(de)大(dà)數據。
傳統安全認證方式及其問題
之(zhī)前有人(rén)說(shuō)“在(zài)互聯網上(shàng),沒人(rén)知道(dào)你是(shì)一(yī / yì /yí)條狗”,這(zhè)種“身份不(bù)确定性”對于(yú)互聯網金融服務來(lái)說(shuō),是(shì)一(yī / yì /yí)個(gè)永遠的(de)風險。網絡釣魚、木馬傳播、賬号竊取等帶來(lái)的(de)盜用和(hé / huò)欺詐都是(shì)這(zhè)種風險的(de)直接體現。
所以(yǐ),就(jiù)有了(le/liǎo)人(rén)們最熟悉的(de)幾種安全認證手段:一(yī / yì /yí)是(shì)用戶所知道(dào)的(de)東西,比如密碼;二是(shì)用戶所擁有的(de)東西,比如數字證書、硬件盾。他(tā)們的(de)本質都是(shì),當支付服務接收到(dào)支付請求時(shí),爲(wéi / wèi)了(le/liǎo)減低支付風險,服務端要(yào / yāo)先确認支付發起者的(de)身份是(shì)合法的(de)。
但以(yǐ)上(shàng)兩種方法都會遇到(dào)一(yī / yì /yí)些障礙,比如密碼容易忘記,有些人(rén)所有應用都用同一(yī / yì /yí)個(gè)密碼,密碼還可能存在(zài)洩露的(de)風險。這(zhè)一(yī / yì /yí)點,2011年底的(de)CSDN密碼洩露事件就(jiù)給了(le/liǎo)所有人(rén)一(yī / yì /yí)個(gè)警示。
數字證書和(hé / huò)硬件盾的(de)問題在(zài)于(yú),更換電腦或者重裝系統之(zhī)後,電腦中沒有數字證書,用戶就(jiù)會無法支付,而(ér)硬件盾可能丢失或者損壞,發生這(zhè)種情況,用戶也(yě)會無法支付。這(zhè)也(yě)是(shì)至今很多用戶都沒有選擇這(zhè)些安全産品的(de)原因。
第三種現在(zài)廣泛使用的(de)安全認證方式是(shì)手機檢驗碼。 用戶在(zài)電子(zǐ)商務網站、網上(shàng)銀行或者第三方支付網站預留手機之(zhī)後,就(jiù)可以(yǐ)在(zài)需要(yào / yāo)進行身份确認時(shí)接收動态驗證碼。 手機有良好的(de)攜帶性、私密性,手機短信的(de)達到(dào)率可以(yǐ)達到(dào)90%以(yǐ)上(shàng)。因此手機短信動态驗證碼被電子(zǐ)銀行和(hé / huò)第三方支付大(dà)量使用。
在(zài)手機短信驗證碼被大(dà)量使用之(zhī)後,不(bù)法分子(zǐ)也(yě)開始針對性的(de)展開攻勢。釣魚網站、電話的(de)方式騙取驗證碼甚至成爲(wéi / wèi)一(yī / yì /yí)個(gè)黑色産業鏈,對電子(zǐ)商務環境造成很大(dà)的(de)負面影響。
舉個(gè)真實的(de)案例,支付寶爲(wéi / wèi)了(le/liǎo)防止不(bù)法分子(zǐ)冒充工作人(rén)員向用戶騙取手機校驗碼,曾經在(zài)發送短信校驗碼的(de)短信文案中明确寫到(dào)“淘寶或支付寶工作人(rén)員不(bù)會向您索取短信校驗碼”。有一(yī / yì /yí)次,一(yī / yì /yí)位用戶接到(dào)一(yī / yì /yí)位假客服的(de)電話,假客服以(yǐ)幫她處理交易爲(wéi / wèi)由向她索取校驗碼,這(zhè)位用戶跟假客服說(shuō),“短信裏面說(shuō)了(le/liǎo)工作人(rén)員不(bù)會向我索取短信校驗碼的(de)。”假客服可能也(yě)是(shì)靈機一(yī / yì /yí)動,回答說(shuō),“我不(bù)是(shì)淘寶和(hé / huò)支付寶的(de),我是(shì)賣家。”這(zhè)位用戶就(jiù)把校驗碼告訴假客服了(le/liǎo)。爲(wéi / wèi)此,支付寶隻好更改了(le/liǎo)短信校驗碼的(de)文案,明确說(shuō)明“任何索取短信校驗碼的(de)行爲(wéi / wèi)均是(shì)詐騙行爲(wéi / wèi)。”
即使這(zhè)樣,用戶被騙取短信校驗碼的(de)情況還是(shì)不(bù)能絕迹。因爲(wéi / wèi)這(zhè)類非法騙取驗證碼的(de)行爲(wéi / wèi)很多是(shì)有組織的(de)實施,加上(shàng)受害者的(de)防範意識比較薄弱,成功騙取的(de)概率始終是(shì)存在(zài)的(de)。電子(zǐ)銀行和(hé / huò)第三方支付想要(yào / yāo)很好的(de)控制這(zhè)種非法行爲(wéi / wèi),存在(zài)很大(dà)的(de)難度。
設備行爲(wéi / wèi)分析的(de)優勢:你可以(yǐ)易容,但你的(de)行爲(wéi / wèi)特征很難改變
爲(wéi / wèi)了(le/liǎo)降低支付風險而(ér)引入了(le/liǎo)身份認證,但是(shì)身份認證過程本身也(yě)存在(zài)被攻擊的(de)可能性。那麽,能否減少網絡行爲(wéi / wèi)中的(de)“身份認證”環節呢?
答案是(shì)肯定的(de)。不(bù)法分子(zǐ)可能通過各種方式掌握你的(de)密碼,騙取你的(de)校驗碼,但他(tā)要(yào / yāo)完全使自己的(de)行爲(wéi / wèi)特征跟你相似,那就(jiù)要(yào / yāo)難得多。就(jiù)好像整容很容易,但要(yào / yāo)改變你的(de)行爲(wéi / wèi)特征卻很難一(yī / yì /yí)樣。能夠通過這(zhè)樣的(de)數據化、技術化的(de)手段去控制風險,這(zhè)就(jiù)是(shì)互聯網做安全的(de)優勢。
事實上(shàng),通過對用戶支付行爲(wéi / wèi)的(de)習慣數據進行分析來(lái)進行身份認證,可以(yǐ)很好的(de)減少在(zài)支付過程中身份認證對用戶的(de)打擾。
行爲(wéi / wèi)在(zài)一(yī / yì /yí)段時(shí)間之(zhī)内形成規律,就(jiù)好比某個(gè)人(rén)習慣用左手寫字。通過分析這(zhè)種行爲(wéi / wèi)習慣,就(jiù)可以(yǐ)知道(dào)用戶的(de)真實身份。
用戶在(zài)網絡上(shàng)的(de)行爲(wéi / wèi)都會留下“信息”,比如在(zài)什麽時(shí)間支付、購物的(de)金額、使用什麽樣的(de)網絡。
在(zài)網絡上(shàng),一(yī / yì /yí)個(gè)人(rén)能獲取到(dào)的(de)設備是(shì)有限的(de),一(yī / yì /yí)般是(shì)辦公室電腦、家裏電腦、手機等。如果在(zài)一(yī / yì /yí)個(gè)“可信”的(de)設備上(shàng)登錄系統,那麽當前行爲(wéi / wèi)的(de)可信度就(jiù)較高。那麽設備又是(shì)行爲(wéi / wèi)分析中的(de)關鍵點。
網絡行爲(wéi / wèi)一(yī / yì /yí)般包含5個(gè)方面的(de)因素:在(zài)什麽時(shí)間、使用什麽設備、賬号、登錄什麽網站、做了(le/liǎo)什麽。
我們可以(yǐ)給每個(gè)設備一(yī / yì /yí)個(gè)“可信度”,用戶的(de)行爲(wéi / wèi)與設備進行關聯,每次用戶的(de)行爲(wéi / wèi)都可以(yǐ)動态的(de)改變“可信度”。
一(yī / yì /yí)次可信的(de)、合法的(de)行爲(wéi / wèi)會增加可信度,一(yī / yì /yí)次不(bù)可信的(de)、非法的(de)行爲(wéi / wèi)會減少可信度。而(ér)增加和(hé / huò)減少的(de)“度”,是(shì)通過一(yī / yì /yí)套複雜的(de)模型,采用機器學習的(de)方式獲得。這(zhè)樣就(jiù)圍繞設備形成一(yī / yì /yí)個(gè)閉環,“輸入-處理-輸出(chū)-反饋”。
除了(le/liǎo)可以(yǐ)改變用戶直接使用的(de)設備的(de)可信度,甚至還可以(yǐ)通過“設備”與“設備”之(zhī)間的(de)關聯關系動态改變設備的(de)可信度。比如,用戶A使用手機A,使用聲波支付給用戶B的(de)手機B轉賬1000塊,那麽除了(le/liǎo)手機A的(de)可信度提升,手機B的(de)可信度也(yě)可以(yǐ)相應提升。 分析設備直接的(de)關系同樣也(yě)可以(yǐ)建立一(yī / yì /yí)套複雜的(de)模型。
因爲(wéi / wèi)用戶網絡行爲(wéi / wèi)會映射到(dào)設備的(de)操作行爲(wéi / wèi),所以(yǐ)通過對設備可信度的(de)分析,就(jiù)可以(yǐ)知道(dào)行爲(wéi / wèi)的(de)風險有多高。而(ér)且這(zhè)個(gè)過程中,不(bù)需要(yào / yāo)用戶主動安裝數字證書或者硬件盾,不(bù)需要(yào / yāo)接收校驗碼,對用戶的(de)體驗也(yě)會有明顯提升。
随着移動互聯網興起,地(dì / de)理位置定位、加速度感應等成爲(wéi / wèi)主流智能手機的(de)标準配置。智能設備上(shàng)的(de)傳感器,就(jiù)好比人(rén)的(de)五官,不(bù)斷的(de)采集周圍環境的(de)信息,這(zhè)就(jiù)爲(wéi / wèi)設備行爲(wéi / wèi)的(de)分析提供更豐富的(de)數據。這(zhè)些智能化的(de)設備散步在(zài)世界的(de)每個(gè)角落,分分秒秒都在(zài)生産和(hé / huò)傳輸信息;未來(lái)的(de)挑戰,不(bù)是(shì)用于(yú)分析的(de)數據不(bù)夠,而(ér)在(zài)于(yú)對如此龐大(dà)數據的(de)儲存和(hé / huò)分析能力。
通過設備行爲(wéi / wèi)分析的(de)方式去控制風險,隻是(shì)通過大(dà)數據的(de)方法去進行風險控制的(de)一(yī / yì /yí)種。在(zài)國(guó)外paypal就(jiù)沒有數字證書、硬件盾這(zhè)樣的(de)安全産品,就(jiù)是(shì)靠分析用戶與設備的(de)行爲(wéi / wèi)去控制風險。中國(guó)的(de)環境下,用戶對安全的(de)要(yào / yāo)求更高,安全感也(yě)更差,之(zhī)前國(guó)内領先的(de)第三方支付公司更多還是(shì)采取安全産品、校驗碼這(zhè)些用戶能夠明顯感知到(dào)的(de)安全認證方式。但設備行爲(wéi / wèi)分析這(zhè)樣的(de)新方式也(yě)已經開始起步。
還是(shì)那句話,這(zhè)個(gè)世界上(shàng)沒有絕對意義上(shàng)的(de)安全,互聯網上(shàng)也(yě)是(shì)如此。但不(bù)論是(shì)要(yào / yāo)降低風險發生率本身,還是(shì)要(yào / yāo)提升風控過程中的(de)用戶體驗和(hé / huò)效率,互聯網的(de)方式、大(dà)數據的(de)方式都要(yào / yāo)優于(yú)傳統方式,這(zhè)就(jiù)是(shì)時(shí)代進步的(de)必然。大(dà)家既要(yào / yāo)看到(dào)問題,也(yě)要(yào / yāo)看到(dào)這(zhè)樣更積極的(de)一(yī / yì /yí)面。
