人脸识别和指纹识别等生物识别技术当下受热议,谈及移动金融安全的问题,中国金融认证中心总经理季小杰表示,目前金融领域仅仅依赖生物识别技术,还不够成熟,银行在做一些相关应用,但并未完全依赖这一技术,可以叠加其他安全手段,以保证身份真实性以及交易私密性等。
中国金融认证中心总经理季小杰
季小杰有丰富电子认证的管理经验,关注各项新技术发展和信息安全趋势。5月24日,她在清华五道口全球金融论坛上发言时介绍,中国电子银行网对2014年银行年报中披露手机银行情况进行统计,数据显示,手机银行用户数已达到4.165亿,同比增长32.64%。随着近年互联网企业的移动金融强劲发展,生物识别、距离无线通信(NFC)成为热门技术,季小杰表示,可以预见基于移动终端以客户为中心的移动金融将成为未来金融服务的发展模式。
同时,她也指出四个方面的移动金融安全问题。首先,与PC平台成熟的安全体系相比,移动设备的安全认证手段还相对薄弱。经过金融行业多年的研究和建设,基于PC的网上银行已经有比较完善的安全体系,绝大部分银行采用基于数字证书安全解决方案,比较起来,目前在移动金融中应用最广泛的“用户名密码+短期动态码”认证手段的安全等级就较低。“数据显示,在移动金融的诈骗案件中绝大部分的案件都和密码、短信动态码有关”。
其次,尽管有使用便捷的有点,基于生物特征的生物身份识别技术存在着一旦被盗用将无法吊销的风险。目前存在两个问题,第一,无论人脸识别还是指纹识别等技术都无法达到100%准确;第二,尽管人的生物特征不能改变,但泄露生物特征的途径却很多,一旦被伪造将无法吊销,“仅依赖生物识别技术进行身份认证的措施还不适用于大范围的金融业务”。
第三,SIM卡、SD卡一体化安全方案有先天缺陷。季小杰介绍,由于安全存储单元随时与外部交互,不能完全断开链接,与手机结合一起,就像一代智能密码钥匙,存在黑客通过攻击操作系统来控制、篡改签名的风险。
此外,APP安全问题也不容忽视。她介绍,2015年初,中国金融认证中心信息安全实验室从软件安全、应用交易安全以及APP环境安全三个维度,对受理的APP软件类项目的检测结果进行统计,结果看移动支付类APP的安全问题较突出,存在着应用保护程度不高,软件盘防护能力不强,交易密码明文处理等问题,“黑客很容易可以利用这些弱点伪造交易”。
针对这些问题,季小杰建议,通过三方面解决移动金融的安全问题。
首先,在移动金融领域广泛推广电子签名应用。2015年是《电子签名法》颁布十周年,该法的实施解决了电子发票、电子合同等电子交易的完整性、真实性以及抗抵赖性问题。季小杰说,目前电子签名是解决身份认证和交易纠纷最有效的手段,同时对APP进行电子签名还能保障其安全性和可追溯性。
其次,分离式无线签名设备将成为未来的主流。她表示,长期实践证明分离式的签名设备是最为安全的身份认证方式。此外,综合使用密码技术、混淆技术以及环境检测等手段,对APP进行整体安全功能设计,“这方面由于专业性非常强、技术复杂,我们建议借助专业安全公司的力量对APP复合型验证和抗攻击性进行测试”。
季小杰表示,金融领域效率和安全问题需要全社会合作,建议政府主管部门建立信息共享机制,比如黑名单,发挥专业安全企业力量的同时,也建议作为消费者和用户,本身也应该注意用网安全,比如不要下载来路不明软件,设置复杂密码。