在这个互联网大发展的世界里,只要上网,每个人的信息都不可能绝对安全。事实上,安全只是相对概念,世上没有绝对的安全。对于用户来说,账号和密码的被盗始终存在可能性,尤其在信息泄露比较猖獗的今天,盗号者要拼凑一个人的信息,然后利用这些信息去盗号,难度已经没有那么高了。
于是,一个新的课题是,有没有比密码更靠谱的安全方式?
(一)你是你么?
很多人遇到过,当你使用支付宝,输入了错误密码,或者刚刚到达一个从来没有去过的地区,或者使用了一个以前没有使用过的通信网络,支付宝也许会要求你输入短信校验码,甚至是身份信息来进行验证。原因是系统产生了一些怀疑,想确认,究竟是否你本人在操作支付宝,疑惑是盗贼窃取了你的支付宝。其实,这是支付宝后台的风控大脑在发挥作用。
风控大脑实际上就是现在火热的人工智能在支付安全上的应用,目的就是要实现密码即便被盗,系统也有能力保护用户的资金安全。
简单的说,这个风控大脑通过对用户资料和交易行为等大数据的积累,包括用户账户资料、设备、位置、行为、关系和偏好等方面,对用户进行了系统性的长期信息识别,形成了用户的支付行为画像。如果用户在某次登陆或支付的过程违背常理或者表现一致,系统就会自动识别出来,对风险进行评估打分,会要求用户提供更多的资料来审核,甚至会直接叫停支付行为,从而保护用户的资金安全。
风控大脑技术并非未来科技,它其中所应用到的一些前沿技术,比如根据用户点击屏幕的指压、接触面积、节奏等,判断是否本人,据国外实验室测算,可以让判断风险的成功率提升7倍,支付宝在使用了这个技术后,风控能力大概提升了5倍。
(二)如何挡住网络盗贼
还是以支付宝为例(离钱近的公司,对安全自然是格外重视),来看看互联网企业是如何来抵挡网络盗贼的。
一个真实发生的案例:2014年6月7日,账号主任接收了伪基站10086的短信,主动输入了身份证信息和银行卡信息,并中手机木马。
当日深夜,骗子结合上述信息,成功获取校验码后修改登录密码,并在广州某小区登陆,之后又修改支付密码。接着,得意洋洋下单一台iphone5,打算用别人的钱,给自己换手机。
没想到,风控大脑直接判定交易失败,并对账户进行了限制。第二天,支付宝客服给用户打电话,确认用户账户是被盗了,并引导其重置密码,成功杜绝了一次可能发生的安全事故。
风控大脑拒绝的原因就是前面所说的,盗贼的操作习惯和主人的日常支付行为不符合,这里面包括,使用的设备不是日常设备,登陆的位置不是日常位置,主人经常使用的密码在深夜被突然窜改,以及突然购买大件数码产品(主人平时不怎么网购,主要是购买理财产品)。
一个人的密码容易被盗,但是长期累积的行为习惯却很难被模仿。当你本人就是个大而复杂的密码的时候,盗贼盗窃的几率就大大下降了。
(三)安全感与体验感的平衡难题
安全感和安全性,有时候似乎是一对矛盾体。
为了安全感,很多人会把体验做得很复杂,比如说使用很复杂的密码,或者经常更换密码,以此来提高安全水平。这种做法并没有不对,使用含有数字、字母或者其他特殊符号的密码是有利于提高安全等级,但是,这,太繁琐了,其实用户体验很不好,忘记密码的事儿,好多人都用过。
对于企业来说,如果为了用户觉得安全,而把所有的安全保障环节都设置到用户面前,那是很崩溃的。比如,在用户登陆账户或进行支付的时候,很多网站会要求输入验证码,包括随机数字、字母或文字、图片识别等,比较极端的,如12306,要求用户输入需要经过“智力测验”一般的图形问题。包括以往用户熟悉的各种口令卡,XX盾,都能让用户感觉到比较安全,因为所有安全的关卡都出现在了用户面前。但实际上,这让很多人的体验都抓狂,这也是以往的网络支付没有大发展的主要原因。
可以预见,未来,我们可能会遇到体验感上升,安全感受损的问题,因为,把更多的安全防护工作放到用户看不见的地方,是一种行业趋势。因为像密码这样,用户能感知到的,和自己操作的安全产品,在新形势下,其实本身的安全性也在受到挑战,并不如前面所说的这种风控大脑来得安全可靠。
所以,这可能是个过程,当用户逐步了解后台逻辑,更相信把风控这样专业的事情交给专业的企业去做的时候,他们自然能够放心地舍弃一些传统的东西,谁不愿意更便捷呢。
【每日一文,坚持十年,欢迎业界读者沟通交流,请微博 @马继华 或加微信公众号“北国骑士”】
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。