亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

洲支付服務(wù)指令2（PSD2）包含對某些在線交易的額外安全功能的要求。這些安全要求稱為強(qiáng)客戶認(rèn)證（SCA），認(rèn)證過程的最終結(jié)果是生成一次性認(rèn)證碼，通常稱為一次性密碼（OTP）。雖然SCA還有其他功能和要求，但實(shí)際上PSD2已經(jīng)強(qiáng)制要求雙因子（2FA）或多因素身份驗(yàn)證（MFA），這是一種安全技術(shù)，如今已被許多金融機(jī)構(gòu)很好地建立和使用。

2018年1月推出的歐洲支付服務(wù)指令2（PSD2）包含對某些在線交易的額外安全功能的要求。這些安全要求稱為強(qiáng)客戶認(rèn)證（SCA）于2019年9月14日生效，并將強(qiáng)認(rèn)證定義為以下三個(gè)要素中的兩個(gè)或多個(gè)的組合：

知識?– 只有用戶知道的東西

占有?– 只有用戶擁有的東西

內(nèi)在性?– 用戶的東西。

認(rèn)證過程的最終結(jié)果是生成一次性認(rèn)證碼，通常稱為一次性密碼（OTP）。雖然SCA還有其他功能和要求，但實(shí)際上PSD2已經(jīng)強(qiáng)制要求雙因子（2FA）或多因素身份驗(yàn)證（MFA），這是一種安全技術(shù)，如今已被許多金融機(jī)構(gòu)很好地建立和使用。

2FA模型在歷史上一直由前兩個(gè)因素，知識和占有主導(dǎo)。這是因?yàn)橹R本身就是如此弱的身份驗(yàn)證形式，例如PIN和密碼，需要第二個(gè)因素。對于采用2FA的組織而言，迄今為止最受青睞的占有因素已采用多種形式，其中一些最簡單的TAN列表，特別在德國受到青睞，簡單的基于硬件的一次性密碼（OTP）生成器。

TAN（交易驗(yàn)證號碼）列表只是一張紙，上面印有50個(gè)OTP。當(dāng)使用每個(gè)OTP時(shí)，例如，用于授權(quán)因特網(wǎng)銀行交易，它隨后變得無效以供進(jìn)一步使用。問題是未使用的代碼沒有有意義的到期時(shí)間，因此成為網(wǎng)絡(luò)釣魚攻擊的目標(biāo)。另一方面，OTP生成器在生成的4位或6位代碼上有到期時(shí)間，這意味著欺詐者更難以獲取和使用代碼。

然而，這兩種技術(shù)都被引入了Man-in-the-Middle和Man-in-the-Browser攻擊而變得過時(shí)。由于事務(wù)詳細(xì)信息是動態(tài)的，因此僅包含靜態(tài)OTP的TAN列表會立即過時(shí)。簡單的OTP生成器也是如此，但制造商通過引入簽名令牌生成器解決了這一新威脅，允許手動輸入有限的交易信息。然而，使用這些設(shè)備進(jìn)行手動數(shù)據(jù)輸入容易出錯(cuò)，令人沮喪，根本不是用戶友好的，并且還有可能被瀏覽器中的人類攻擊所破壞。

帶外（OOB）身份驗(yàn)證（包括事務(wù)詳細(xì)信息驗(yàn)證）被視為基于硬件的令牌生成器的經(jīng)濟(jì)高效且用戶友好的替代方案。事實(shí)證明，OOB方法不僅流行且具有成本效益，而且對所有攻擊媒介都有效。然而，欺詐者設(shè)計(jì)了一種針對這種形式的2FA的新戰(zhàn)略。一種這樣的攻擊被稱為SIM交換欺詐，其需要說服MNO欺詐者實(shí)際上是合法用戶并且在欺詐者的控制下將電話號碼移植到SIM。

SIM交換檢測服務(wù)立即發(fā)展，但這些服務(wù)專為檢測而非預(yù)防而設(shè)計(jì)。銀行仍需要確定檢測到的SIM Swap是否是欺詐性的，或者是真正的用戶是否是合法的號碼端口。

今年2月，總部位于英國的Metro Bank透露，它已成為對所謂安全的基于電信的SS7網(wǎng)絡(luò)協(xié)議進(jìn)行攻擊的受害者。SS7是全球移動電話連接的骨干網(wǎng)絡(luò)，包括呼叫和文本，Metro Bank證實(shí)，黑客攻擊涉及竊取SMS提供的用于網(wǎng)上銀行交易授權(quán)的安全代碼，即OTP。雖然此攻擊針對SMS消息，但對于通過電話發(fā)送的代碼同樣有效。

防止這些復(fù)雜的網(wǎng)絡(luò)攻擊的基本前提一直是“擁有”，它只在有限的程度上宣稱客戶的身份。知識（只有你知道的東西）才是擁有。如果欺詐者知道你所知道的，他們就可以盡可能地使用這些知識。個(gè)人設(shè)備是關(guān)于占有，這可以通過諸如SS7漏洞，SIM交換和無條件呼叫轉(zhuǎn)發(fā)等攻擊來利用。占有不再足以斷言個(gè)人的身份。

SCA中定義的第三個(gè)元素Inherence是證明身份而不是占有的唯一元素。為什么這是至關(guān)重要的是因?yàn)槲覀儽仨毤僭O(shè)任何渠道都可能被破壞而秘密信息被盜。因此，我們需要在移交OTP之前證明身份而不是占有，其次，我們需要使用欺詐者無法使用的東西來驗(yàn)證用戶身份。

Inherence是多因素身份驗(yàn)證的關(guān)鍵，特別是在帶外解決方案中，遵守SCA。短信顯然不支持固有，但OOB電話有。如果我們查看SIM Swap和SS7黑客攻擊，兩者都會讓欺詐者產(chǎn)生對自己電話的呼叫，或者能夠攔截呼叫以獲取OTP。

通過在發(fā)出OTP之前應(yīng)用該呼叫的固有性，即語音生物識別認(rèn)證，無論誰在該呼叫結(jié)束時(shí)，擁有呼叫是不夠的。只有合法的帳戶持有人才能成功進(jìn)行身份驗(yàn)證，然后才會發(fā)布OTP。這是身份的真實(shí)證明，只有身份證明否定了SCA定義中所需的路由和安全環(huán)境的漏洞。它無需依賴安全模型來利用從未設(shè)計(jì)用于支持強(qiáng)用戶身份驗(yàn)證的基礎(chǔ)架構(gòu)。

語音正在成為未來的用戶界面，用于向智能個(gè)人助理，家用電器甚至汽車等各種設(shè)備發(fā)出命令和指令。語音不僅用于命令，還用于身份，兩者結(jié)合使用，可以提供無縫的用戶界面和與機(jī)器和AI交互所需的強(qiáng)身份驗(yàn)證。

語音也是多因素身份驗(yàn)證和SCA中的固有元素，可以克服網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)漏洞，并允許金融機(jī)構(gòu)部署OOB解決方案，這些解決方案不僅可以滿足SCA要求，還可以保護(hù)其帳戶持有者免受欺詐和經(jīng)濟(jì)損失。

來源：https://www.helpnetsecurity.com/2019/05/06/strong-customer-authentication/

原文鏈接：http://toutiao.secjia.com/article/page?topid=111497