分层身份验证解决方案保护网上和手机银行交易

据估计目前一半以上的银行客户喜欢通过安全的网上银行服务访问账户。目前，随着网上银行服务的爆炸式增长，更多更复杂欺诈攻击以及监管疏忽的问题应运而生。因此，引导最终用户放弃简单、静态的密码，转而使用强大、自适应的身份验证尤为重要，这样可以确保只有授权人员才能访问账户，同时不会影响网上交易的便捷。

为达到效果，分层身份验证必须作为高性价比安防战略的一部分进行实施，使金融机构从任何地点、从任何设备，比以往任何时候更频繁地保护用户的网上和手机交易。

新渠道，新威胁

根据CEB Towergroup的零售银行业务和证卡实践，金融业需要监控若干关键趋势。首先，新通道的快速增长迫使金融机构有效地管理所有渠道的诈骗活动。同时，调查公司称从2010年到2011年，首选的银行交易方法发生了显著变化，喜欢使用网上银行的客户几乎增长了两倍。CEB TowerGroup认为安防实践的一致性以及对所有渠道中诈骗活动的整体认识非常重要，因为客户的信息和交易可能在多个访问点进行。

CEB TowerGroup列举的另一个关键趋势是身份验证解决方案需要适应新法规。据该调查公司的报告，本次身份验证调查中有59%的受访者表示已经通过审核符合2011 FFIEC补充规定，并表明在去年取得了实质性的进步。但是，目前部署的身份验证管理解决方案中有三分之一尚未通过正式审核，有8%已进行内部审核，但未进行外部审核。对于这项新趋势，25%的受访者表示忧虑，因为他们的解决方案目前不支持带外身份验证。

最后，随着新电子渠道的开发，CEB TowerGroup认为金融机构将依靠强大的集成和各种身份验证方法减小风险和诈骗活动。金融机构将寻求具有策略引擎的身份验证解决方案，该策略引擎将即开即用的功能与欺诈检测系统集成到一起，并且最终与防恶意软件系统集成到一起。随着移动设备能力的发展，金融机构将利用他们的凭证卡管理能力、配置分析和声誉。如果用户可以通过移动设备管理其凭证卡，而银行通过移动设备的配置分析和声誉确定风险，则客户在远程登录时将继续享受无缝体验。

行业如何做出反应

在这些变革中，HID Global等技术提供商正经历对无缝、风险解决方案需求的不断增长，并且也正在满足这些需求，以支持银行使用这些服务为广大客户定制身份验证解决方案。HID Global的ActivID身份验证产品为普及实现可信网上交易的真正多因子验证提供五个关键层：

· 验证用户：放弃简单的密码转而使用强大的用户验证是网上银行安全的基础。FFIEC在为美国金融机构发行的身份验证指南中认为单因子身份验证无法充分保护网上交易。最佳方法是双因子身份验证，即至少集成以下方法中的两种：用户所知的东西(例如，ID/密码);用户拥有的东西(例如，移动设备或OTP密钥);用户的身份(例如，生物识别或行为识别特征);

· 验证设备：增强的FFIEC指南推荐一种为诈骗检测和监控方法分层的网上安全框架，以配合现有的用户身份验证控制措施。一旦确定用户的身份，验证用户是否正在使用“已知”的设备非常重要。具有代理检测和地理定位等要素的复杂设备识别被认为更安全，与简单设备识别相比，人们更倾向于使用复杂设备识别;

· 验证渠道：据FFIEC称，随着可以绕过单一验证方法的Man-in-the-Middle (MIM)/Man-in-the-Browser(MIB)攻击方式的扩散，分层方法也必须包括预防性网页恶意程序控件(例如，实时的恶意程序检测、主动强化的浏览器);

· 验证交易：分层安全中的另一项有效控制措施是为交易使用带外(OOB)验证。对于需要大幅减少风险的交易，签字可以用于高风险、高价值交易的不可否认性;

· 验证应用：这对于手机银行业务尤为重要。该层保护移动设备上用于提供敏感信息的应用。该应用必须在结构上获得强化，并且能够使用最终用户的凭证卡执行双重身份验证。添加该层可实现端到端的保护，使网络罪犯的犯罪活动更加困难，成本更加高昂。

该分层方法使金融机构能够以方便、递增的方式增加网上欺诈保护，从而安全地访问网上服务和云应用。HID Global通过集成式身份验证平台提供统一的方法，这样组织可以轻松地管理众多用户和不同设备的凭证卡，同时提供始终如一并且便利的保护，从而抵御金融机构在全球范围内面临的最新欺诈问题。分层战略可以提高安全性，同时确保银行根据特定的威胁级别和客户的偏好，使用风险适当的解决方案。此外，使用支持多种渠道和多种用户群体的公共平台也会降低分层网上银行安全解决方案的总体拥有成本。

客户互动

CEB TowerGroup认为有效身份验证的关键部分是客户互动，该公司将客户互动定义为促进验证客户对解决方案的理解并成功与解决方案交互的属性。在其零售银行业务和证卡实践技术分析中，CEB TowerGroup授予HID Global最佳客户关系奖，用于表彰HID Global在市场上应用最广泛的验证因子为整个服务渠道提供了一致的体验，并使其客户自助服务能力提供了直观的凭证卡管理。

CEB TowerGroup零售银行业务和证卡部门研发总监Jason Malo谈到：“通过整合客户互动功能和恶意软件检测能力，HID提供了完善而具有前瞻性的验证解决方案。该解决方案能够支持外部身份验证凭证卡，这就为拥有多种部署或多种旧有系统的公司提供了灵活性。”

CEB TowerGroup根据以下三个标准评估客户互动：1)初步身份验证，2)客户凭证卡管理，3)凭证卡恢复。ActivID使用3步过程解决第一个标准，包括立即分析客户的计算机，与网上服务提供商连接通过查询ActivID获取风险评分和DeviceID以及恶意程序检测状态，分析风险评分和检测状态。对于凭证卡管理，ActivID提供了广泛的基于角色的授权模型和审核日志，实现全面的访问追踪，使客户拥有访问适当资产的权限。对于不同的渠道，使用不同的分配和恢复流程提供第三个标准，凭证卡恢复。物理密钥通常邮件寄送，而软凭证卡通常下载。客户也可以通过自助服务门户分配和恢复已锁定的凭证卡。

HID Global采取若干重要步骤，以便提供上述客户互动能力，包括：

· 风险对策工作流程：HID Global发布了恶意程序检测功能，与最新版本的ActivID集成到一起。该先进、实时的能力可以在不影响用户的情况下检测诈骗，增强ActivID解决方案。ActivID的新版本同样利用集成提供先进的智能设备，并通过分析设备和暴露任何隐藏的设备属性，识别和检测任何异常活动或潜在的异常现象。

· 报告能力：ActivID包含可以定制的即开即用的报告控制台，包括审核报告页面。不同的设备和软件版本提供不同类型的报告。用户可以将所有数据导出该解决方案。

· 身份验证方法：ActivID通过一次性密码(OTP)、公开密钥基础设施建设(PKI)证书、传统静态密码和安全问题，在硬件和软件层面进行强大的身份验证。可以通过一系列设备和软件通道提供身份验证，包括智能卡、硬件密钥、移动设备、短信、电子邮件和LDAP密码。此外，ActivID能够与第三方密钥实现互操作，例如VASCO的DIGIPASS密钥。

除了关注客户互动外，HID Global通过其身份认证技术伙伴项目拓展和加强了与银行业的合作关系，这将进一步深化合作解决方案的开发。Temenos等参与该项目的合作伙伴利用基于HID Global的ActivID Appliance和ActivID Threat Detection服务的分层身份验证能力，实现高度灵活的网上银行和手机银行解决方案。该合作伙伴关系以及其他关系在满足客户需求以及对下一代安全网上金融服务的日益增长的需求方面发挥着关键作用，CEB TowerGroup预计在2009年至2013年期间该需求将增长1.5倍，而同期的手机交易将增长10倍。

有效身份验证的其他标准

除了用户互动外，还有其他身份验证解决方案的标准。例如，高德纳集团在其近期的用户身份验证魔力象限报告中称，必须根据行业的“力量连结”评估解决方案，因为该信息提供了从云端到用户和系统的增强型社交和移动体验的整体背景。在高德纳报告中，HID Global凭借其广泛的目标系统集成和广泛的身份验证方法以及使用案例而获得关注。该报告称指定HID Global产品的客户认为其定价模式、总体拥有成本、功能性和预期性能作为关键决策因素。

2012年，HID Global的一名客户遇到了挑战，该客户需要为其客户引入可靠、安全的移动银行解决方案，从而确保多个银行业务渠道保持同样的安全级别。银行想要通过创新的方法与客户沟通，同时通过优化运营成本和资源获得客户的忠诚感。该银行选择HID Global的ActivID身份验证服务器以及智能卡、读卡器和OTP硬件和软件密钥，为大约70,000名零售和公司电子银行客户以及6,000多名移动银行零售用户提供服务。据该银行称，确保银行客户对网上和手机银行平台的信心非常关键。

另一个HID Global银行客户需要确保多种银行渠道保持同样的安全级别，为60,000名公司银行用户和150,000零售客户提供服务。HID Global的软密钥功能可以降低成本并提高安全性和灵活性。该客户称：“当涉及互联网安全时，我们对HID Global的产品充满信心。我们可以充分管理该解决方案，并为广泛的客户设备提供支持。”

只有客户认为网上银行安全，客户才使用网上银行。这需要摒弃简单密码转而采用真正的多因子验证，这对于预防网上诈骗、保障数据安全和保护隐私显得日益重要。客户互动功能和分层方法相结合，由合作伙伴计划提供支持，进一步深化合作解决方案的开发，从而满足对解决方案不断升级的需求，当客户进行网上和手机银行交易时，保护他们的安全并保持他们的忠诚度。