当银行网站用户在登录的时候,会越来越频繁地被问及这样的问题:你在哪个城市出生?为什么会出现用户在输入用户名和密码之后不能查看账户信息的情况呢?这是因为银行使用了设备标识(device identification)来保证账户的安全,如果用户使用一台以前从来没有用过的电脑进行登录,那么银行会确认登录者是不是真正的账户主人。
使用设备标识作为预防欺诈的策略是近来一种很不错的办法。由于网络罪犯的目标是网上信用卡交易、新账户的注册以及账户登录,金融机构如果想确认试图使用账户的人是否是用户本人,那么需要验证的已不仅仅是用户的IP地址和登录/密码了。
设备标识是怎样工作的?
设备标识是通过使用“设备指纹”来减少欺诈风险的:设备指纹即是一个设备标识符,它以用户系统的IP位置以及配置的方式为基础。这个指纹随着时间的推移会允许金融机构分配和跟踪“信誉值(reputation)”:即分配给用户系统的一个风险值,它取决于数字指纹数值,以及当这个设备不在终端用户手中时金融机构确定的风险值,这是一个从用户交易历史中提取的数值。
设备标识是按下面这些信息的哈希值(hashed value)为基础创建这个设备指纹的,但是并没有局限于这些数值:
• 地理位置属性——基于IP地址的物理位置数值(举个例子: IP 192.xxx.xxx.xxx =东欧)。 • 连接属性——连接是通过一个专用的网络连接(比如一个Citrix服务器)还是一个普通的因特网连接? • 时间和时区属性——进行了多少次连接尝试,连接尝试之间的时间间隔又是多少?还有,连接尝试是在什么时候发生的(比如,最终用户所在时区的早上2:00)? • 网络路由属性——网络流量是怎样路由的(例如,通过不受信任的网络如中东——加勒比——美国东海岸)。 • 应用程序属性——应用程序如何访问网站(比如使用SSL或者没有安全性)。 • 操作系统属性——OS,浏览器,其他的系统标识符。 • 交易活动属性——正在进行什么类型的交易(比如,转账,购物等等)? • TCP协议属性——使用什么样的TCP协议访问目的系统(例如,HTTP, FTP,等等)? • 信誉属性——先前赋给系统的值 当消费者登录到企业的客户端网站或者门户网站一段时间后,设备标识应用程序开始给每个用户生成一个信誉值。然后,设备标识应用程序会把这个信誉值跟预先设定的风险值相比较。举个例子,设备指纹值的有一个加权和,假设是70,把这个数跟最小风险值进行比较,假设是65。如果应用程序以它的指纹值为基础识别了用户的系统,用户可以继续操作。然而,如果应用程序不能识别系统,它就会假设系统没有通过认证,用户必须提供一系列有挑战性的问题的答案才能把设备添加到用户的系统上。如果用户不能正确回答这些问题,访问就会被拒绝。
转载请注明:IT运维空间 » 安全防护 » 保护网银安全:设备标识的工作原理
发表评论