银行正从一次性密码转向静默认证
为了加强防范欺诈的保障措施菲律宾马尼拉——随着金融机构加强防范欺诈的措施,预计菲律宾的银行和电子钱包提供商将越来越多地用静默式和基于风险的身份验证来取代基于文本的一次性密码 (OTP)。 8x8 CPaaS 总经理 Sylvain Chaperon 说:“我们预计,用户需要输入的代码将逐渐被攻击者更难伪造或窃取的信号所取代。”
此次过渡遵循菲律宾中央银行第 1213 号通告规定的 6 月 25 日合规截止日期,该通告限制使用可拦截的身份验证机制,例如通过短信和电子邮件发送的 OTP。 新规要求提供复杂电子金融服务且过去六个月平均每月网络交易额至少达到7500万比索的机构,对高风险交易采用更强的身份验证方式。这些方式可能包括生物识别、无密码验证以及基于客户位置、设备和行为的自适应身份验证。
Chaperon 表示,一次性密码 (OTP) 是为不太复杂的威胁环境而开发的,该系统依赖于接收验证码的手机号码仍然在账户持有人的控制之下的假设。 然而,诈骗分子越来越多地利用 SIM 卡交换、拦截短信和社交工程手段来诱骗客户泄露其 OTP,从而滥用该系统。 他说:“在菲律宾这样的移动优先经济体中,智能手机是大多数人进行银行业务和支付的主要途径,这使得身份验证步骤成为一个高价值的目标。” 其中一种可能的替代方案是静默移动身份验证,它直接与移动网络运营商验证客户的SIM卡、设备和交易会话。由于不发送验证码,因此诈骗分子无法拦截、窃取或诱使客户泄露任何信息。
今年早些时候,云通信解决方案提供商 8x8 与 PLDT Enterprise 合作,在菲律宾推出了静默移动身份验证,使企业能够通过可信的移动网络信号验证用户身份,而无需 OTP。 银行还可以使用密码、生物识别扫描和魔法链接,将客户的身份与特定设备连接起来,而不仅仅是与手机号码连接起来。 Chaperon表示,各机构不太可能依赖单一的OTP替代方案。相反,预计它们会采用分层系统,评估设备信息、网络数据和用户行为,仅当交易存在风险时才需要额外验证。 他还补充说,加强安全措施不一定会造成更多不便,特别是对于不太熟悉数字技术的用户而言。 查佩龙说“其原则是将工作重心从客户转移到技术层面。”“静默认证就是最明显的例子:它在后台验证身份,因此客户无需做任何事情——无需阅读、输入或理解任何代码。” 他表示,虽然采用新系统需要投资,但各机构应该权衡这笔费用与潜在的欺诈损失、客户赔偿、声誉损害和更高的支持成本。
|