聊聊身份欺詐和竊取那些事

很多人都認為「個人隱私」不過是一紙空談而已，引用老炮兒中六爺的一句被刪台詞：「我活那麼大，我TM都不知道自己還有隱私？」

目前社交媒體如此發達，而社交平台上又存儲著海量的網民個人信息，但是由於很多用戶缺乏針對個人信息的保護意識，所以網路犯罪分子們有著大把的機會可以隨意竊取他人的個人身份信息。

不過在應對身份盜竊這一問題上，研究人員們也在不斷嘗試著新的花樣。比如說，我們可以將用戶的個人物理屬性納入考慮範圍，並通過這種實體屬性來為我們的身份信息添加一層額外的安全保護。

通過指紋識別來解鎖智能手機已經不是什麼新鮮事兒了，但是最新的技術是將指紋信息與用戶手指按壓的力度進行結合來識別用戶身份，這就比較炫酷了。

傳統的身份識別方式存在短板

Experian的高級業務顧問Keir Breitenfeld在接受採訪時表示：

現在很多企業和政府部門仍然在使用「可共享的秘密」或「靜態數據」來識別用戶的合法身份，比如說社保號、用戶名和密碼等等，但是如果繼續使用這種身份識別方法的話，那麼欺詐問題也許永遠都無法解決。個人身份識別信息（PII）是非常有價值的，而這些信息自然而然就成為了網路犯罪分子的首要目標。因此，解決該問題的其中一種方法就是使用動態數據（或與一些靜態指標相結合）。

目前，每天都有190萬條包含有PII信息的數據記錄被盜，這也就意味著每天都有數百萬人將會陷入身份欺詐的風險之中，除此之外，根據Javelin的2017年身份欺詐研究報告，在2016年總共有1540萬美國公民受到了身份欺詐的影響，受影響人數相比2015年增加了16%。

Breitenfeld表示，目前很多公司仍然在使用一種名為「身份元素識別驗證」的形式來對用戶身份進行核驗。

在這種傳統的方法中，「申請人」需要提供一個身份元素（例如社保號、生日、姓名或住址），然後公司再使用可信任第三方（例如信用部門）所提供的數據記錄來與之進行比對，並通過這種方法來核驗用戶的身份。

但是問題就在於，其中大多數信息可能早就已經被盜了，所以這種身份認證方法已經不再可靠。

Entrust Datacard的全球副總裁Ryan Zlockie給出了一種名為「連續認證」的例子，比如說，當用戶在操作智能手機的過程中，他們打字、滾動或滑動屏幕時手指的用力程度是不同的，我們可以通過這些數據來與用戶的日常行為習慣進行比對並驗證其身份。

另一種方法就是通過會話或事務的時長來進行驗證，比如說，我們可以將用戶的打字習慣當作一種基於行為模式的身份驗證工具，當用戶在電腦鍵盤上打字時，我們可以收集用戶手指按壓鍵盤的力度和頻率情況，而這些數據時可以連續捕捉的，並非只在用戶首次登錄一個系統或服務時才進行收集。

相對於靜態身份數據來說，這種動態數據對於犯罪分子而言的「貨幣價值」就沒有那麼高了。

而且通過這種方法，企業也就有可能阻止欺詐行為的發生。目前一些新的動態識別數據主要有以下幾種：

1. 生物學特徵：類似指紋和視網膜這樣的生物識別認證因素可以用來安全地驗證用戶身份，因為對於詐騙分子來說，這些信息的竊取和拷貝相對來說比較困難。

2. IP地址：檢測當前賬戶是否使用的是新的或未認證的IP地址，這樣可以一定程度地阻止欺詐事件的發生。除此之外，當某人嘗試使用新設備來訪問用戶賬號時，用戶將會收到通知。

3. 地理位置：地理位置是驗證用戶身份的另一種因素，而且很多公司目前已經將其當作一種用戶在進行購買操作時的身份驗證因素了。比如說，如果你住在肯塔基，但如果你想在用你的憑證來購買商品時，交易將會被暫時阻止，除非你能夠進一步提供身份驗證資料。

4. 自拍：當用戶通過移動設備來進行交易時，面部識別技術同樣可以用來驗證用戶身份。

5. 購物頻率檢測：通過檢測個人用戶的歷史購物行為和購買頻率同樣可以有效地防止違規操作的發生。

6. 社交媒體資料：可以通過分析用戶的社交媒體和在線賬戶資料來判斷該用戶的身份是否真實。比如說，某人的Facebook賬號已經建立了很多年，而且也有很多好友，但是我們可以通過分析其賬號資料的廣度和深度來判斷該用戶是否使用的是虛假信息。

7. 授權用戶的操作行為：通過監控已授權用戶的操作行為可以有效地防止欺詐行為的發生。

除了面部識別之外，聲音識別和虹膜識別等技術同樣可以根據用戶的固有物理特徵來驗證用戶的身份。

Zlockie表示：「目前生物認證的範圍已經不僅局限於指紋了，正是由於生物特徵具有這種「不可轉讓」的特性，所以它才能提供高等級的防欺詐保護。聲音和面部生物識別技術的靈活性非常高，我們可以在一個會話過程中不斷地驗證用戶身份，而用戶完全不會覺察到。

除此之外，他還引用了心電圖（ECG）來作為物理識別因素的另一個例子，因為心跳等因素同樣可以作為一種唯一的標識符來驗證用戶的身份。

當用戶正在使用一個系統或服務時，系統就可以在會話的整個過程中通過實時檢測用戶的生命特徵來核驗用戶身份。

Zlockie表示，這種「認知認證技術」目前仍處於研究階段。

這種技術需要收集大量參數來為用戶創建一個單獨的用戶檔案，當用戶接收到了一種新的刺激時（例如一段熟悉的音樂或一張圖片），我們就可以通過腦電圖、心電圖、血壓、皮膚電反應和瞳孔狀態來判斷用戶的身份。

可行方案

多因素身份驗證已經成為了目前一種較為常見的驗證方法，例如基於知識的驗證（安全問題）、一次性密碼和文件驗證（自拍或電子簽名）等等。

雖然這種方法已經使用多年，但傳統的多因素認證方法並不像一些人所認為的那麼安全。

比如說，當驗證碼是通過文本發送的時候，我們無法保證看到這個驗證碼的就是用戶本人，因為用戶的手機可能會被盜，而且犯罪分子也可以複製用戶的手機卡來接收簡訊驗證碼。

因此，我們可以在這種傳統多因素認證的過程中加入動態數據（例如自拍）來提升可靠性。

展望未來，整個行業需要考慮使用一種更具整體性的身份識別機制。Breitenfeld認為，我們可以將用戶的PII信息與動態數據相結合來創建出一種集中化的消費者身份管理中心。

一般來說，這些用戶檔案需要一個可信任的第三方（例如信用機構）來負責存管，而用戶數據可以通過多種渠道來進行收集，而擁有許可權的機構可以實時訪問這些文件存檔。

當企業需要驗證某位用戶身份時可以向中心發出驗證請求，企業就不用在本地存儲或與其他第三方共享用戶的身份識別信息了。這樣也就減輕了企業收集和保護用戶PII信息的負擔，而且他們也不用擔心黑客攻擊和數據泄漏等事件給用戶身份信息所帶來的危險了。

* 參考來源：networkworld， FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM