4月8日,OpenSSL心臟出血安全漏洞大范圍爆發(fā),國(guó)內(nèi)超過(guò)3萬(wàn)臺(tái)主機(jī)受到波及,以https開(kāi)頭的網(wǎng)站中,有不少于30%的網(wǎng)站中招,其中包括大家最常用的購(gòu)物、網(wǎng)銀、社交、門戶等知名網(wǎng)站,而在手機(jī)APP的網(wǎng)銀客戶端中,則至少50%存在風(fēng)險(xiǎn)。該事件中,受到攻擊的主機(jī),大量用戶數(shù)據(jù)被攻擊方抓取。
國(guó)內(nèi)的淘寶、網(wǎng)易等大型互聯(lián)網(wǎng)公司也未能幸免,因此OpenSSL心臟出血事件被業(yè)內(nèi)視為一次網(wǎng)絡(luò)安全的里程碑事件。
來(lái)誼電子CEO徐海光接受21世紀(jì)經(jīng)濟(jì)報(bào)道專訪時(shí)表示,對(duì)于普通用戶而言,數(shù)據(jù)泄露的最嚴(yán)重后果之一便是威脅網(wǎng)絡(luò)支付安全,即黑客可以利用其數(shù)據(jù)資料操控互聯(lián)網(wǎng)賬戶。而關(guān)鍵問(wèn)題在于,在目前互聯(lián)網(wǎng)支付的安全認(rèn)證模式下,一旦發(fā)生這種情況,用戶資金很容易被轉(zhuǎn)走。
此次事件后,網(wǎng)絡(luò)支付和移動(dòng)支付安全問(wèn)題再次被推上風(fēng)口浪尖。在之前央行接連發(fā)文叫停包括微信支付、支付寶錢包、虛擬信用卡在內(nèi)的支付方式中,也著重提到了移動(dòng)支付的安全問(wèn)題。
以微信支付、支付寶錢包、銀行手機(jī)移動(dòng)客戶端為代表的新型支付方式近兩年發(fā)展迅猛,當(dāng)前市場(chǎng)和企業(yè)更多的關(guān)注和改善此類支付方式的便捷性,其安全性卻并未同步發(fā)展。徐海光表示,支付領(lǐng)域,便捷性和安全性某種程度上存在矛盾,因此必須平衡好兩者的關(guān)系。他稱,尤其對(duì)于移動(dòng)支付,目前通用的做法都是短信驗(yàn)證方式,這極易被黑客劫持。
也正因此,浸淫支付行業(yè)多年的徐海光開(kāi)始關(guān)注移動(dòng)支付安全領(lǐng)域,并于去年年底開(kāi)發(fā)出一款基于云端+APP形式的小微封產(chǎn)品。據(jù)其介紹,該產(chǎn)品通過(guò)時(shí)間+設(shè)備+地點(diǎn)三個(gè)維度進(jìn)行身份認(rèn)證,并且以雙通道的技術(shù)方式防止黑客劫持。
在傳統(tǒng)模式中,包括銀行、第三方支付機(jī)構(gòu)均由自己負(fù)責(zé)支付與安全認(rèn)證,而進(jìn)入互聯(lián)網(wǎng)金融時(shí)代,第三方安全認(rèn)證服務(wù)商也開(kāi)始出現(xiàn)。
安全認(rèn)證的漏洞
徐海光告訴記者,移動(dòng)互聯(lián)網(wǎng)環(huán)境下,現(xiàn)有的身份識(shí)別方式基于客戶預(yù)留手機(jī)號(hào)的短信驗(yàn)證,一旦手機(jī)卡被復(fù)制或驗(yàn)證短信被劫持轉(zhuǎn)發(fā)等情況發(fā)生,犯罪分子可以非法控制被害人的手機(jī)銀行。
他介紹說(shuō),在使用網(wǎng)絡(luò)支付時(shí),后臺(tái)的運(yùn)行原理可以簡(jiǎn)單理解為,用戶通過(guò)手機(jī)、PAD、電腦等終端向銀行服務(wù)器發(fā)出支付指令,包括支付金額、接收賬戶等;同時(shí)銀行服務(wù)器會(huì)發(fā)出驗(yàn)證指令,目前通用的方式即發(fā)送短信驗(yàn)證碼或者使用動(dòng)態(tài)密碼令牌。
驗(yàn)證指令即對(duì)操作人的身份認(rèn)證,確認(rèn)是否為持卡人操作,而這正是互聯(lián)網(wǎng)時(shí)代最大的難點(diǎn)。傳統(tǒng)的刷卡支付,銀行和第三方通過(guò)卡道進(jìn)行身份認(rèn)證,如果要進(jìn)行盜刷,違法分子必須獲得物理卡。而在互聯(lián)網(wǎng)時(shí)代,因?yàn)殂y行無(wú)法判斷電腦、手機(jī)等終端設(shè)備的后面是否是持卡人,也無(wú)需物理卡,只要賬號(hào)、密碼、驗(yàn)證碼正確即可進(jìn)行操作,安全風(fēng)險(xiǎn)增加。
如果一旦用戶的賬戶、密碼、手機(jī)號(hào)碼等數(shù)據(jù)泄露,違法分子即可通過(guò)劫持銀行發(fā)出的驗(yàn)證指令(短信驗(yàn)證碼或動(dòng)態(tài)密碼)到自己手機(jī)上,從而完成資金轉(zhuǎn)移。徐海光同時(shí)稱,目前流行的二維碼支付同樣存在安全風(fēng)險(xiǎn)。
以目前最火的微信支付和支付寶錢包為例,其支付方式大致分為兩種:手機(jī)綁定的賬戶生成二維碼,商戶以掃碼搶掃描收款以及商品生成二維碼后,手機(jī)直接掃碼支付。對(duì)于前者,一旦用戶手機(jī)上生成二維碼的賬戶被盜用,同樣可以被盜用者拿去消費(fèi),無(wú)論前端支付形式是二維碼、條形碼還是NFC,本質(zhì)上還是一個(gè)賬戶。而后者,徐海光表示,現(xiàn)在一些違法分子會(huì)在二維碼中植入病毒,一旦用戶掃描后,其將不斷地獲取用戶數(shù)據(jù),同樣可以盜用產(chǎn)生二維碼的賬戶。
設(shè)備指紋認(rèn)證
顯然,網(wǎng)絡(luò)支付時(shí)代,人、設(shè)備、賬戶共同形成一個(gè)鏈條,當(dāng)賬戶數(shù)據(jù)泄露,被他人操作時(shí),賬戶不變,人和設(shè)備發(fā)生轉(zhuǎn)移。而徐海光介紹的小微封則通過(guò)設(shè)備指紋將設(shè)備這一環(huán)節(jié)固定,即使數(shù)據(jù)泄露,在其它設(shè)備上也無(wú)法操作賬戶。
按照他的介紹,通過(guò)小微封APP,其服務(wù)器可以采集到硬件指紋、軟件指紋和行為指紋。每臺(tái)電腦或手機(jī),各個(gè)配件都擁有不同的序列號(hào),小微封將此作為設(shè)備指紋進(jìn)行采集。如果手機(jī)賬戶信息泄露,違法分子在其它設(shè)備上也無(wú)法進(jìn)行操作。
軟件指紋則針對(duì)設(shè)備中所安裝的軟件信息進(jìn)行采集,比如電子波紋。如果操作賬戶的設(shè)備中所裝軟件無(wú)法與小微封服務(wù)器中的數(shù)據(jù)匹配,同樣無(wú)法完成操作。同時(shí),小微封通過(guò)云端服務(wù)器可以采集到用戶部分的個(gè)性化特征數(shù)據(jù),比如用戶聽(tīng)過(guò)什么樣的音樂(lè),由此完成身份認(rèn)證。
徐海光表示,除此之外,通過(guò)技術(shù)方式,小微封的安全認(rèn)證還引入了時(shí)空維度。即使設(shè)備丟失,依然可以保證賬戶安全。在他展示的APP上,用戶可以實(shí)現(xiàn)一鍵鎖和賬戶鎖功能。如果用戶綁定在手機(jī)上的銀行卡丟失,通過(guò)小微封即可完成一鍵凍結(jié)賬戶,手機(jī)這個(gè)時(shí)候就變成了一個(gè)銀行發(fā)給C端用戶的遙控器。并且如果用戶同時(shí)綁定了兩臺(tái)設(shè)備,即使有一臺(tái)丟失,同樣可以在最快時(shí)間內(nèi),通過(guò)手上的設(shè)備解除丟失設(shè)備的操作權(quán)限。
同時(shí)在地理位置上,小微封可以實(shí)現(xiàn)近場(chǎng)、精確定位和區(qū)域定位功能。即根據(jù)不同需求,選擇支付的范圍,一旦超出設(shè)定的范圍即無(wú)法完成支付。由此,通過(guò)多個(gè)維度的定位,將傳統(tǒng)的單一因素認(rèn)證升級(jí)為多因素認(rèn)證。
相比傳統(tǒng)的U盾、動(dòng)態(tài)密碼令牌,小微封采用的是一種軟件安全認(rèn)證的方式。徐海光表示,在移動(dòng)支付時(shí)代,每個(gè)人不可能拿一堆密碼盾,軟件模式將是未來(lái)的趨勢(shì)。
但通過(guò)軟件的方式解決這一問(wèn)題,小微封服務(wù)器需要與銀行或第三方支付企業(yè)進(jìn)行對(duì)接。按照徐海光介紹的模式,整個(gè)支付安全認(rèn)證過(guò)程必須通過(guò)三個(gè)主要環(huán)節(jié),即用戶設(shè)備向銀行服務(wù)發(fā)出支付指令,銀行端再向小微封服務(wù)器發(fā)出驗(yàn)證指令,后者通過(guò)對(duì)設(shè)備、時(shí)間和地點(diǎn)三個(gè)維度的N個(gè)數(shù)據(jù)比對(duì)后,如果數(shù)據(jù)匹配,即可完成支付,一旦發(fā)生異常,小微封將對(duì)銀行服務(wù)器提出警示。
這對(duì)傳統(tǒng)的安全驗(yàn)證模式是一種變革,之前只是在銀行服務(wù)器和用戶設(shè)備之間直接發(fā)生支付和驗(yàn)證指令傳輸,而小微封的模式則是在兩者之間加入第三方驗(yàn)證。據(jù)徐海光稱,傳統(tǒng)的方式中,支付指令和驗(yàn)證指令通過(guò)單一通道傳輸,極易被黑客短時(shí)間內(nèi)劫持,而加入第三方,形成雙通道,將支付指令和驗(yàn)證指令分離,增加安全系數(shù)。
同時(shí),第三方服務(wù)模式則避免了系統(tǒng)升級(jí)帶來(lái)的支付問(wèn)題。在目前一些銀行的手機(jī)客戶端中,支付和驗(yàn)證功能集合在一個(gè)APP內(nèi),一旦安全系統(tǒng)升級(jí),支付服務(wù)也將受到影響。徐海光表示,在國(guó)際通行的技術(shù)架構(gòu)中,支付和安全應(yīng)該是獨(dú)立的兩個(gè)APP,即使安全系統(tǒng)升級(jí),也不影響支付功能,并且因?yàn)榈谌椒?wù)商連接多家金融機(jī)構(gòu),一旦一家被攻擊,其可以立刻預(yù)警并升級(jí)安全系統(tǒng)對(duì)未被攻擊的金融機(jī)構(gòu)進(jìn)行保護(hù)。
徐海光表示,目前已經(jīng)有多家銀行開(kāi)始與其接觸,正在進(jìn)行具體細(xì)節(jié)上的溝通,并且與部分第三方支付機(jī)構(gòu)簽約。
2024-09-11
2024-08-31
2024-08-29
2024-08-15
2024-07-29
2024-07-17
2024-06-22
2024-06-13
2024-06-05
2024-05-31
近日,葫蘆娃集團(tuán)與武漢理工大學(xué)、西南醫(yī)科大學(xué)、蕭山農(nóng)商銀行、東營(yíng)銀行、酒泉市住房公積金管理中心、南海網(wǎng)、每日甘肅網(wǎng)、益農(nóng)服務(wù)網(wǎng)、美克集團(tuán)、博思軟件等單位簽約合作。網(wǎng)站通過(guò)部署葫蘆娃集團(tuán)互聯(lián)網(wǎng)安全認(rèn)證云平臺(tái)旗下產(chǎn)品,建設(shè)網(wǎng)絡(luò)與信息安全保障體系、維護(hù)網(wǎng)絡(luò)安全、助力網(wǎng)絡(luò)健康發(fā)展。
2013年,網(wǎng)絡(luò)安全依然是互聯(lián)網(wǎng)市場(chǎng)共同關(guān)注的焦點(diǎn)話題。各大瀏覽器廠商也都摩拳擦掌,力求給網(wǎng)民們絕佳的安全極速瀏覽體驗(yàn)。近日,小編從“可信網(wǎng)站”驗(yàn)證管理機(jī)構(gòu)中網(wǎng)獲悉,傲游(maxthon)與中網(wǎng)正式達(dá)成可信驗(yàn)證戰(zhàn)略合作,傲游云瀏覽器全面嵌入中網(wǎng)“可信網(wǎng)站”驗(yàn)證數(shù)據(jù)庫(kù)。
3月31日-4月1日,以“總部回歸、創(chuàng)新上饒”為主題的2017全球饒商回歸大會(huì)暨資本市場(chǎng)與實(shí)體經(jīng)濟(jì)發(fā)展論壇在上饒舉行。31日下午,資本市場(chǎng)與實(shí)體經(jīng)濟(jì)發(fā)展論壇召開(kāi),葫蘆娃集團(tuán)創(chuàng)始人、董事長(zhǎng)兼CEO唐正榮作為在浙優(yōu)秀饒商,應(yīng)邀出席。
掃一掃 關(guān)注放心簽公眾號(hào)
掃一掃 關(guān)注放心簽小程序
在線咨詢
電話咨詢
全國(guó)服務(wù)熱線
微信咨詢