当银行网站用户在登录的时候,会越来越频繁地被问及这样的问题:你在哪个城市出生?为什么会出现用户在输入用户名和密码之后不能查看账户信息的情况呢?这是因为银行使用了设备标识(device identification)来保证账户的安全,如果用户使用一台以前从来没有用过的电脑进行登录,那么银行会确认登录者是不是真正的账户主人。 使用设备标识作为预防欺诈的策略是近来一种很不错的办法。由于网络罪犯的目标是网上信用卡交易、新账户的注册以及账户登录,金融机构如果想确认试图使用账户的人是否是用户本人,那么需要验证的已不仅仅是用户的IP地址和登录/密码了。 设备标识是怎样工作的? 设备标识是通过使用……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
当银行网站用户在登录的时候,会越来越频繁地被问及这样的问题:你在哪个城市出生?为什么会出现用户在输入用户名和密码之后不能查看账户信息的情况呢?这是因为银行使用了设备标识(device identification)来保证账户的安全,如果用户使用一台以前从来没有用过的电脑进行登录,那么银行会确认登录者是不是真正的账户主人。
使用设备标识作为预防欺诈的策略是近来一种很不错的办法。由于网络罪犯的目标是网上信用卡交易、新账户的注册以及账户登录,金融机构如果想确认试图使用账户的人是否是用户本人,那么需要验证的已不仅仅是用户的IP地址和登录/密码了。
设备标识是怎样工作的?
设备标识是通过使用“设备指纹”来减少欺诈风险的:设备指纹即是一个设备标识符,它以用户系统的IP位置以及配置的方式为基础。这个指纹随着时间的推移会允许金融机构分配和跟踪“信誉值(reputation)”:即分配给用户系统的一个风险值,它取决于数字指纹数值,以及当这个设备不在终端用户手中时金融机构确定的风险值,这是一个从用户交易历史中提取的数值。
设备标识是按下面这些信息的哈希值(hashed value)为基础创建这个设备指纹的,但是并没有局限于这些数值:
- 地理位置属性——基于IP地址的物理位置数值(举个例子: IP 192.xxx.xxx.xxx =东欧)。
- 连接属性——连接是通过一个专用的网络连接(比如一个Citrix服务器)还是一个普通的因特网连接?
- 时间和时区属性——进行了多少次连接尝试,连接尝试之间的时间间隔又是多少?还有,连接尝试是在什么时候发生的(比如,最终用户所在时区的早上2:00)?
- 网络路由属性——网络流量是怎样路由的(例如,通过不受信任的网络如中东——加勒比——美国东海岸)。
- 应用程序属性——应用程序如何访问网站(比如使用SSL或者没有安全性)。
- 操作系统属性——OS,浏览器,其他的系统标识符。
- 交易活动属性——正在进行什么类型的交易(比如,转账,购物等等)?
- TCP协议属性——使用什么样的TCP协议访问目的系统(例如,HTTP, FTP,等等)?
- 信誉属性——先前赋给系统的值
当消费者登录到企业的客户端网站或者门户网站一段时间后,设备标识应用程序开始给每个用户生成一个信誉值。然后,设备标识应用程序会把这个信誉值跟预先设定的风险值相比较。举个例子,设备指纹值的有一个加权和,假设是70,把这个数跟最小风险值进行比较,假设是65。如果应用程序以它的指纹值为基础识别了用户的系统,用户可以继续操作。然而,如果应用程序不能识别系统,它就会假设系统没有通过认证,用户必须提供一系列有挑战性的问题的答案才能把设备添加到用户的系统上。如果用户不能正确回答这些问题,访问就会被拒绝。
翻译
相关推荐
-
金融行业安全指导
安全是金融行业永远的话题。现在网络犯罪分子们越来越多的利用综合渠道,包括网络,手机,邮件等,制造机会,跟踪欺诈消费者。本技术手册将从三个方面为您提供详细的安全策略,包括:金融安全风险及挑战,案例学习:金融安全启示录和金融安全最佳实践。
-
McAfee公司调查证实规则遵从是IT安全的关键驱动力
根据安全巨人McAfee公司近日发布的关于新风险及规则遵从的调查发现,规则的要求持续地驱动着IT技术上新的投资。
-
盘点网银安全使用大全
日前,由央行牵头搭建的新一代在线交易解决方案——“超级网银”正式上线。网银作为银行提供的网络上的经济活动的服务,给客户带来了便利,但同时也带来了一些安全问题。
-
网银用户保障安全的四个好习惯
随着股市的不断升温,以网上银行作为转账、支付手段的股民大幅增加。可是网银的安全性却令人担忧。