解决银行客户身份验证挑战的安全且可扩展的方法

银行和其他金融服务公司知道，他们特别容易受到针对其业务和客户的网络攻击。

多因素身份验证(MFA)或强客户身份验证(SCA)解决方案是一种特别有效的防御措施，但有些比其他解决方案更好。对于移动身份验证解决方案尤其如此。

许多消费者期望他们在使用其他移动应用程序时享受同样的便捷体验。但是，无论它们多么方便，这些解决方案也必须得到妥善保护。

移动身份验证解决方案充斥着存在重大安全漏洞的产品

这些缺陷包括使用安全代码的解决方案，也称为一次性密码(OTP)，通过SMS发送到客户的手机。

这种方法被广泛使用多年，极易受到网络安全威胁。组织必须了解他们的风险，这样他们才能保护自己和客户。他们还需要了解如何确保移动身份验证和交易签名的安全，以及如何使用当今的控制和协议来部署安全、无缝和可扩展的解决方案。

知道什么是利害攸关的

有多种攻击媒介，包括黑客用来重新路由人们的文本的非法短信服务，以便他们可以访问他们的帐户。

例如，ReadWrite在2021年5月报告了FluBot恶意软件如何在安装后收集所有密码并将其发送回其来源公司。更恶毒的——该机器人还收集所有联系人并从受害者的帐户发送消息，感染更多的人。

在一年前的另一次重大攻击中，攻击者建立了一个由16,000个虚拟移动设备组成的网络，然后截获了SMS一次性密码(OTP)。

根据Ars Technica的报道，IBM Trusteer研究人员发现了大规模欺诈操作，该操作使用移动设备模拟器网络在几天内从移动银行应用程序中提取了数百万美元。

越来越依赖数字交易渠道

随着对数字交易渠道的日益依赖，网络攻击的数量显着增加。

正如ReadWrite撰稿人Peter Daisyme在其改进和优化公司数据安全计划的5种方法中指出的那样，2022年4月Block-Cash应用程序的泄露可能已经暴露了超过800万客户的数据。

2022年初，Crypto.com承认，近500名用户在严重违规后集体被盗30多万美元。

使用受损的用户凭据仍然是黑客发起攻击的主要方式

2021年春季，黑客利用多因素身份验证漏洞从大约6,000个Coinbase帐户中窃取了加密货币。该漏洞使他们能够通过SMS输入OTP并访问和检索用户帐户信息。

移动身份验证安全性为这些挑战提供了解决方案，使用户能够利用各种移动设备功能在访问应用程序或执行交易之前验证其身份。

移动身份验证安全性如何工作

将无处不在的智能手机转变为易于使用、无处不在的身份验证器是理想的选择，但确保移动身份验证过程的安全绝非易事。

该行业已通过非营利性开放Web应用程序安全项目(OWASP)基金会为移动身份验证创建了基准安全标准。但是，这些标准与为Web应用程序创建的标准不同。

移动应用程序提供了更多用于存储数据和利用设备内置安全功能来验证用户身份的选项。因此，即使是很小的设计选择也会对解决方案的整体安全性产生超出预期的影响。

一种移动身份验证选择是SMS验证，或通过SMS发送的OTP，它已在全球范围内得到广泛采用。这是HID Global在2021年研究中调查的金融机构中领先的身份验证方法。Ponemon Institute估计，尽管存在重大安全风险，SMS OTP仍被大约三分之一的移动用户使用。

另一种方法是将推送通知与安全的带外通道相结合的身份验证解决方案。

带外方法提供了更强大的安全性、灵活性和改进的可用性组合。这种安全的、基于通道的身份验证方法将加密技术应用于将特定设备与其所有者身份相关联的任务。

它排除了攻击者冒充某人的可能性，除非他们可以物理访问设备。此外，它是一种比SMS身份验证更安全的方法，因为服务提供商无需通过不安全的网络向客户的设备发送敏感信息。

推送通知还使用户体验比SMS系统更直接。

当手机上出现推送通知时，用户必须做的就是通过选择“批准”或“拒绝”交易来验证请求。这与引用通过SMS接收的OTP并将其重新输入手机形成对比。

用户通常会看到一小部分身份验证过程，其中大部分发生在后台。

整个移动身份验证生命周期从注册和识别用户设备开始，然后为用户提供安全凭证。

该解决方案还必须保护用户凭据并保护用户、应用程序和后端服务器之间的所有通信。

最后，它必须在组织的应用程序运行时保护敏感数据请求，维护整个客户生命周期的安全性，并防止暴力攻击。这些步骤中的每一个都存在挑战。

解决七大强大的客户身份验证挑战

各种因素使移动身份验证安全难以实施，包括选择最有效的技术并将其集成到组织更广泛的安全系统中。移动身份验证生命周期中有七种基本挑战类别：

识别和认证用户设备

验证一个人的数字身份的理想方法是识别他们是否以及何时使用他们的设备。如果没有这种识别，攻击者可以通过将用户的数据传输到实际移动设备的真实或虚拟克隆中来冒充用户。

为了解决这个问题，可以使用反克隆技术来确保没有人可以通过这种欺诈设备获得访问权限。

当依赖于几乎所有现代智能手机附带的安全元件(SE)时，反克隆技术最为有效。

对于iOS，这是集成到Apple片上系统(SoC)中的Secure Enclave专用安全子系统。

对于Android设备，可信执行环境或TEE与android操作系统一起运行。利用设备的安全元件使身份验证解决方案能够最大限度地利用内置的硬件安全保护。

此外，最强大的身份验证解决方案可以阻止潜在的克隆者使用多层加密保护，并使用唯一的设备密钥保护个人密钥。此唯一密钥是在初始配置过程中生成的，即使它被破坏，也可确保攻击者无法访问任何其他密钥或冒充设备。

配置用户设备，使其免受网络攻击

管理用户的身份并向他们的移动设备颁发凭据必须是安全的，并且不会受到网络攻击。

一些移动身份验证解决方案使用公钥加密（基于数学链接的私钥/公钥对）激活用户设备。在这个公共/私人对中，客户设备生成的私人密钥被认为是秘密的。

他们永远不会离开设备，因此凭据被泄露的可能性较小。这适用于移动身份验证器，因为它们可以在身份验证请求期间与身份验证服务器进行直接交换，并且不需要用户手动干预，例如推送身份验证响应。

当移动认证器和认证服务器之间需要交换密钥材料时，必须采取两个额外的步骤。

提供手动替代方案（如OTP）的移动身份验证器就是这种情况。这些步骤可确保客户端和服务器之间安全地交换密钥材料：

• 用户初始认证建立安全通道。
• 建立安全通道本身来交换共享秘密。

使用最安全的解决方案，初始身份验证对每个用户都是唯一的，此身份验证事件仅使用一次，并且在注册成功完成后立即过期。

一些解决方案还使组织能够自定义特定的安全设置和规则。例如，他们可以更改初始身份验证代码的长度及其字母数字组成或初始身份验证失败后允许的重试次数，以及其他参数。

组织还应考虑管理其用户和设备配置流程的策略。

理想情况下，身份验证解决方案应使组织能够确定是否允许向旧操作系统或越狱手机或没有安全元件的移动设备颁发凭据。

像这样的解决方案通常还让组织可以选择使用哪种类型的加密。除了供应商已经建立的设置之外，它们还简化了配置设置的过程。

在危险的数字世界中保护用户凭证

强大的策略对于保护凭证免受多种不同的攻击和网络钓鱼方案至关重要。但是，这可能很困难，尤其是对于因组织而异的密码策略。移动身份验证解决方案可以在这方面提供帮助，通过使用推送通知来适应这些策略差异。

例如，可以在成功输入密码后立即触发推送通知。或者，可能首先要求用户采取额外的步骤来验证他们的身份，例如输入他们的设备PIN/密码或生物特征标记。

通过确保安全通信来保护敏感数据

敏感数据在通过不安全的渠道移动时可能会被截获，因此用户、移动身份验证解决方案和后端服务器之间的所有通信都需要加密。

在交换任何消息之前，必须使用证书固定来确保移动身份验证解决方案与正确的服务器通信。这限制了哪些证书对该服务器有效，并在身份验证解决方案和服务器之间建立了明确的信任，同时减少了对第三方组织的依赖。

TLS协议的使用对于传输级安全至关重要。例如，使用TLS 1.2，身份验证解决方案和服务器之间共享的每条消息以及传输到移动设备的任何通知都受到保护。

信息还应在此安全隧道内加密，以确保消息级别的安全性。最好的身份验证解决方案更进一步，不需要在用户的推送通知中发送任何敏感的用户数据。相反，它们确保应用程序和服务器之间的私有、安全通道。

此通道检索请求的上下文，限制暴露和妥协的风险。

检测和阻止实时攻击

零日漏洞正在增加，这使得所有应用程序都必须应用各种实时技术来检测和阻止攻击。

一种方法是使用运行时应用程序自我保护(RASP)，它建立了用于在应用程序运行时检测、阻止和减轻攻击的控制和技术。RASP还有助于防止逆向工程和未经授权的应用程序代码修改，并且无需人工干预即可执行这些功能。

解决方案采用多层防御也很重要。

这将绕过任何单一控制导致违规的可能性降到最低。这些层包括：

• 代码混淆：人类更难理解反编译的源代码，除非他们修改程序执行。
• 篡改检测：通过使用ASLR、堆栈粉碎和属性列表检查（也称为.plist检查）等技术，组织可以确保应用程序或其环境没有受到损害，并且任何相关功能都没有改变。
• 越狱和模拟器检测：这使组织能够创建和执行与可信或不可信设备类型相关的策略。

简化身份验证生命周期管理

为了降低加密密钥和证书可能被泄露的风险，它们在发布到设备时被赋予了有限的生命周期。

这个生命周期越短，密钥就越安全。然而，伴随着这些较短的关键生命周期，需要严格遵循严格的密钥管理和更新程序。

但是，实现此目的的解决方案不应强迫用户不断地重新注册服务。

答案？最新的身份验证解决方案简化了配置密钥生命周期长度的过程。它们还采用允许服务器在设备密钥自动过期之前更新它们的机制。消除对明确用户干预的需求将使组织能够在不中断客户服务的情况下遵守安全最佳实践。

防止以获取登录信息和加密密钥为目的的蛮力攻击

蛮力攻击使用反复试验来实现其目标。不幸的是，这些攻击简单有效，足以流行起来。为了对抗它们，移动身份验证解决方案使用了许多不同的技术。

其中最有效的是使组织能够根据其独特的需求和策略自定义设置。示例包括：

• 延迟锁定：组织可以自定义一系列不断升级的延迟，然后再允许用户在尝试失败后重新输入PIN或密码。
• 计数器锁定：此设置用于在多次尝试不成功后呈现无效密码。
• 静默锁定：当用户输入错误的PIN或密码时，组织可以选择将用户锁定在系统之外，无需任何反馈。

第三方审核和认证是帮助做出正确决策的关键指标

没有第三方审计和合规认证，任何安全策略都是不完整的。这些有助于确保身份验证解决方案是安全的，并且可以在当今瞬息万变的环境中保护组织，并面临快速演变的威胁。

应使用内部审查来根​​据一组基于行业标准（如OWASP移动安全项目）的安全控制来验证解决方案。

外部渗透审计和认证——例如由法国国家信息系统安全局(ANSSI)授予的Certification de Sécurité de Premier Niveau (CSPN)——可以基于一致性分析和严格的入侵测试来证明解决方案的稳健性。

从设备注册到凭证管理以及所有推荐的安全审计和认证，在整个生命周期中保护消费者移动身份验证之旅并非易事。

它要求组织仔细考虑他们的风险，学习如何实施和利用设备级安全功能，使移动身份验证和交易签名安全，并应用适当的控制和协议。

他们只能部署在当今不断扩大的威胁环境中保护他们及其消费者的解决方案。