首页 > 银行科技

蚂蚁金服、腾讯、PayPal各自牵头设立联盟,身份认证标准了解一下

银行科技 花球 零壹财经 2018-12-08

关键词:在线快速身份认证联盟身份认证银行APP体验

银行APP体验为什么差?身份认证标准了解一下。
银行系APP用户体验差是个被长期吐槽的问题。腾讯与微众银行共同成立的银行用户体验实验室《2017银行业用户体验大调研报告》显示,资产规模前15名的银行APP用户平均满意度仅为71.8%,不同手机银行APP用户平均流失率高达41%。
 
银行APP满意度低,原因大概有二。
 
首先,这是银行对APP的定位所致。银行本身足够稳定的客群,不需要太多花哨功能、华丽界面、流畅交互来吸引用户,APP对许多银行而言还是个“人有我有”的东西。随着移动互联网进程推进,这种现象有所改变。
 
其次,金融这一古老的行业与互联网结合是一项非常复杂的工程。某种程度上看,便捷与安全是一种对立关系,在这种对立中金融往往选择后者。因此即便有些银行APP功能完善、界面优美、交互流畅,依然给人感觉“差点意思”。
比如,身份认证时带来的不愉悦感。
 
安全归安全,麻烦归麻烦
 
如果留心,不难发现银行类APP永远无法像微信微博支付宝等常用应用那样,账户保持后台常驻。无论是备受好评的招行APP还是饱受吐槽的建行APP,又或是互联网buff加持的网商银行APP和微众银行APP,每进入一次应用,都需要“验明正身”。
 
这意味着,算上支付环节后,用户每使用银行APP发起一次转账,都需要经过至少2次验证。作为对比,第三方支付工具转账均可“一次就好”。使用条码支付(免密),微信、支付宝最快可以0验证,银行APP则依然逃不过登陆那关。
 
银行为何不开放账户后台常驻,以方便用户打开?非不想,实不能也。
 
根据《电子银行业务管理办法》(〔2006〕银监发)规定,银监会对电子银行安全评估制定了57条指引。
 
电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。
 
根据要求,开展电子银行业务的金融机构,至少每2年对电子银行进行一次全面的安全评估。评估机构可以来自外部专业化的评估机构,也可以是独立于电子银行部的内部评估部门。
 
中国银监会对评估机构资质评议后,将出具《电子银行安全评估机构资质认定意见书》,载明评议意见,对评估机构的资质做出相关认定。
 
简单来说,银监会对电子银行的安全管理非常严格
 
除了银监会的定期评估,人民银行于2012年发布的关于《网上银行系统信息安全通用规范》对电子银行应用也有明确要求。
 
其中6.1.4.4条【应用安全】指出,应用“应判断客户的空闲状态,当空闲超过一定时间后,自动关闭当前连接,客户再次操作时必须重新登陆。”
 
用户看不到这些条条框框,发发牢骚,人之常情。不过也需要认清,追求体验不应以牺牲安全性能为基础,作为金融级应用,谨慎的身份认证机制十分必要。除了监管和银行,安全性妥协也是用户所不能接受的。本质上用户不满的是输入过程,而非密码本身。
 
想杀死密码
 
一般认为,密码起源于古代的军事需要。根据记载,公元前405年,密码在古希腊与波斯帝国的战争中就已经被用于传递秘密消息。
 
这场战争中出现的“腰带情报”被认为是世界上最早的密码情报。传信方将腰带缠绕在约定长度和粗细的木棍上书写内容,收信方接到后,如不把腰带缠绕在同样长度和粗细的木棍上,只能看到一些毫无规则的字母。
 
木棍长短、粗细等规格,就是通信双方约定的密码解密规则。
 
很久很久以后(省略1万),随着计算机和信息技术的发展,各种加密算法涌现,密码技术发生了巨大的变革。它除了用于信息加密外,也用于数据信息签名和安全认证。应用领域上,密码也不再局限于为军事、外交斗争服务,还广泛应用在各种社会经济活动中。
 
在金融应用中,安全的认证是所有防御措施的第一步。一旦身份识别系统将人认错,那么后续的限额交易、延迟到账等安全措施都显得乏力无比。银行采取的身份确认机制、安全键盘等措施都是为此考虑,也正是这种措施让安全性与便捷性之间产生了肉眼可见的矛盾。
 
不过随着生物识别技术进步和发展,这种矛盾有了被调和的可能。
 
用生物特征代替数字密码进行身份认证,在越来越多的银行APP中出现。相比于传统的身份鉴定方法,生物识别技术具有不易遗忘、防伪性能好、不易伪造或被盗、随身“携带”和随时随地可用等优点。
 
谁是身份认证联盟
 
到这里这个问题基本似乎得以解决,但实际上还有不少麻烦。
 
1、认证方式多
 
根据IBG(International Biometric Group,国际生物识别小组)统计,目前生物识别技术中占有率最高是指纹识别。
 
2013年,苹果首次在旗下硬件iPhone5s中加入指纹传感器,随后全球智能手机市场掀起了指纹识别潮。时至今日,指纹识别几乎是智能手机的标配功能。
 
但要知道,所谓生物识别技术是指通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性(指纹、脸象、虹膜等)和行为特征(笔迹、声音、步态等)来进行个人身份的鉴定。
生物识别技术种类非常多样化,随着iPhoneX问世,人脸有望成为又一个热门的生物识别方式。
 
好不容易以指纹代替密码,现在又要搞人脸?真麻烦!
 
2、设备碎片化
 
碎片化严重的问题在安卓生态中尤为明显。
 
首先品牌众多,有华为、三星等大户人家,也有小而美的魅族、一加,有主打性价比的小米、荣耀,还有不知道怎么形容的锤子等等。反正手脚并用,也数不过来。
 
其次型号繁多,各大品牌基本都形成了多系列、多价格全面发展。经过多年积累,市面上的手机型号早已数不胜数,不同型号内在零件有所差异。
 
第三安卓版本各异,几乎所有手机厂商都会在安卓的系统上进行魔改处理,不同的型号系统大版本也不尽相同。随着时间的累积,版本碎片化也越来越严重,新版本不断推出,但旧版本没有立刻被淘汰或升级,大有长期共存的趋势。
品牌众多、型号繁多、版本各异等等问题不仅造成安卓体系混乱,也导致应用的开发难度更大,隐形开发成本更多。
 
3、应用多
 
应用众多还用说?即便只在金融领域,各银行、券商、支付机构APP五花八门,兼容起来存在困难。
 

没标准大概这么乱

鉴于上述种种麻烦,身份认证需要统一标准。但制定标准并不是一件容易的事,由单一企业发起标准制定有失公允,也不好推广。
 
为满足市场需求和应付网上身份认证要求,PayPal、NokNokLabs、Validity、联想、英飞凌、Agnitio等6家企业于2012年7月名义上发起成立FIDO(Fast Identity Online),即在线快速身份认证联盟。后来谷歌、三星、微软、英特尔、高通、ARM、阿里等巨头相继加入,FIDO迅速壮大,目前全球范围已有超过260家成员单位
 
FIDO旨在提供一个高安全、高兼容、跨平台、极佳用户体验与用户隐私保护的在线身份认证技术架构。在这样的统一认证协议中,无论是新来的设备还是应用,接入任何身份认证方式都将变得简单快捷。于是有人将之称为“无密码强认证”技术,号称该标准将“杀死密码”,成为密码终结者
 
有标准整洁多了
本质上,FIDO标准通过集成生物识别与非对称加密两大技术来完成用户身份认证,试图解决多年来用户必须记忆并使用大量复杂密码的烦恼。
 
在终端侧,FIDO通过TEE、SE等安全技术实现敏感信息(指纹等)和密码运算,以免在云端等开放系统上遭到攻击,在此基础上再通过非对称加密(RSA)为应用和客户之间建立一套安全认证协议。作为一种非对称加密算法,只要RSA密钥长度足够,那么经加密信息基本牢不可破。
 
作为一家国际性非营利联盟,FIDO标准落地还需有众多实体企业来参与,比如FIDO创始成员联想孵化的子公司国民认证。同在海外一样,FIDO在中国目前应用的主要领域也是金融行业。过去的两三年内,FIDO应用从银行拓展到第三方支付,再拓展到证券业,呈现向泛金融拓展的趋势。
 
对此FIDO中国组联合主席柴海新认为,金融行业由于其行业属性,安全至上的理念决定了它最愿意为先进的认证技术买单。据他向零壹财经介绍,中国银行、民生银行、工商银行、交通银行中信银行、京东钱包、电信翼支付、联通沃支付、移动和包、兴业证券、国泰君安证券等泛金融应用背后均支持FIDO标准。
 
值得一提的是支付宝也曾用过FIDO标准开展身份认证业务,意识到身份认证标准重要性后,又很快放弃了FIDO标准而转向IFAA互联网金融身份认证联盟。
 
IFAA由蚂蚁金服、中国信通信研院、华为、三星、中兴等单位联合发起成立于2015年,同样为了解决身份认证问题,你可以将其粗暴理解为国产FIDO。相比起来,IFAA生于本土,足够接地气,依托阿里全家桶应用,用户基础也足够庞大,近年来成长迅速。
 
在刚过去的双十一中,支付宝生物支付占比超过60%,IFAA市场负责人姚青予对此表示:“这其中的每一笔生物支付完成的交易,都离不开IFAA联盟在产业链整合方面的努力。”
 
和FIDO生态类似,其标准推进和落地同样由众多企业完成,比如北京一砂信息技术有限公司。透过股权归属不难发现,其背后站着上海云鑫创业投资有限公司——IFAA创始成员蚂蚁金服旗下创投公司。
 
同样拥有海量用户的腾讯,选择自定身份认证标准——腾讯SOTER,该标准于去年8月4日宣布开源,主要被应用在微信指纹支付、微信公众号/小程序指纹授权接口等场景。
 
对比FIDO、IFAA、SOTER,三者各有优势和缺点。没有单一巨头背景的FIDO在中立性上更胜一筹,不足就是其国际身份,可能在本土化问题上遇到困难;IFAA、SOTER在推进过程中多少都将面临中立性的质疑,他们的共同优势都是海量的用户资源;起步较晚SOTER在开放性略有不足,称不上联盟标准。就银行而言,更多机构倾向选择FIDO
 
三者之争,体现了标准协议在身份认证领域重要性。巨头不愿将涉及安全认证的信息假手于人,而行业对安全快速的身份认证又是迫切需要,各种原因交错造成了多个标准生态共存的局面

10月30日-11月1日,零壹财经·零壹智库在上海召开“2019数字信用与风控年会暨零壹财经新金融秋季峰会”。本次峰会特邀全球领先的个人消费信用评估公司FICO教学风控管理课程,1天峰会+2天培训,兵器谱TOP20榜单+奖项,构建数字信用与风控的研讨交流契机。

上一篇>开放银行是构建银行互联网金融生态的最佳技术实践

下一篇>28家上市银行管理效率排名:郑州银行管理效率最高


相关文章


用户评论

游客

自律公约

所有评论

主编精选

more

专题推荐

more

央行金融科技发展规划解读(共24篇)


资讯排行

  • 48h
  • 7天



耗时 236ms