“有钱能使鬼推磨”这句古老的谚语也许在如今的现实世界依旧适用,但在虚拟世界中,“身份”才是*。
诚然,在亚马逊购买商品和服务仍需要花钱。但不可否认的是,由用户名、密码和其他不断发展的身份验证方法构成的安全数字身份已成为在互联网世界遨游的“入场券”。
事实上,海波龙咨询(Consult Hyperion)的分析师 Dave Birch在《身份——新型货币》一书中指出,身份和金钱有朝一日将相互替代,创造出一种新型货币。这就引出了一个问题:作为数百年来深受信赖的金钱守护者,银行是否依然是未来货币的守护人?
在谈及数字身份时,人们常常会遇到许多棘手的问题和挑战。例如,什么是数字身份?谁能拥有数字身份?谁负责维护数字身份?如果被盗用或被错误认证,谁应承担责任?如何在不影响用户体验的前提下保证数字身份的安全性?
在一个网络无处不在、移动计算和物联网日渐普及的时代,用户每次在需要服务时都要重复地输入密码或是回答安全问题,这种做法已不再可行,同时也不再安全。
由欧盟“支付服务指令II”(PSD2)等法规推动的联合身份和开放银行倡议的日益推行,这要求银行通过API向数十家金融科技公司开放客户的账户和支付信息。在这一背景下,如何应对上述问题已迫在眉睫。
身份即信任
Dave Birch和其他有着相同见解的行业专家已对身份做出了全新的定义,他们认为,身份不仅是你和你的名字,还包括了你的名誉 ——即社会资本——以及它所赋予的信任。
其中,名誉就是Birch所谓的“社交图谱”:任何人都可以在社交媒体上看到你,了解你是否有工作,是否聪明,是否值得信赖,是否勤奋工作或是否有团队精神。
Birch还认为,手机正迅速成为身份和货币交易的关键推动者。
借助联合身份(federated identity)架构,银行可以在不公开实际敏感数据的前提下,享受其丰富的身份数据(您的声誉和可信度)带来的利益。这对用户和银行而言都是价值的资产,并将成为银行zui终从成千上万创新金融科技企业中脱颖而出的关键优势。
为什么银行才是zui合理的身份守护者和提供者?
信任。消费者相信银行能保护他们的资金安全,因而在涉及到数据安全时,也往往会给予银行同样的信任。凯捷咨询(Capgemini)在2017年对7,600多名消费者所做的一项调查发现,83%的受访者相信银行和保险公司能保护他们的数据。
信息。长久以来,银行始终是用户身份和财务信息的存储中心。无论是创建账户、授信,还是审批贷款,银行必须掌握高度准确的用户信用和就业信息。对许多客户而言,银行掌握了其数十年收入和消费习惯的宝贵数据。
监管。PSD2、严格的反洗钱和“了解你的客户”等法规都要求银行对客户身份验证执行严格的标准,否则就可能面临高额罚款。
人际交流。在建立身份和信任时,面对面交流也许是zui有效的方法。大部分银行拥有分布广泛的营业网点,客户可以直接去柜台办理业务。根据安永在2016年对32个国家55,000名客户所做的一项“银行客户调查”显示,60%的受访者认为银行的实体网点仍然十分重要。尽管如此,银行必须重新考虑营业网点在其业务中所扮演的角色,并引入创新的数字战略和服务,以此改善所有渠道消费者的使用体验。EFNA和Synechron的“2017年银行网点调查报告”发现,58%的银行已开始对零售/个人银行的分支网点进行转型,其中38%引入了数字互动体验,30%采用自动化技术,开设了自助服务。
未来就在眼前
通过与各领域业者的合作,银行日渐成为联合身份的提供商。巴克莱银行的网上银行客户如今可以使用其用户名登录英国的GOV.UK身份验证系统,进行身份注册。澳大利亚联邦银行为外包公司Airtasker的在线平台提供身份验证服务。USAA与一个未具名联邦机构合作,允许用户使用相同的用户名和密码在两个进行身份验证。 Capitol One则使用API??技术,允许对客户进行身份验证并共享其身份信息。
需要哪些技术保障
如此看来,银行在成为身份守护者和提供者方面有着先天的优势。然而,为了实现这一目标,为数十家金融科技和其他机构提供通用的身份认证,银行必须对其身份认证相关的基础设施不断升级。除了目前广泛使用的多因素身份验证之外,鱼叉式网络钓鱼、零时差恶意软件和密钥记录器等技术也是确保身份在移动世界中得到准确验证的有力保障。这些的技术和设备包括:
设备指纹识别:通过IP地址时区、操作系统、浏览器、浏览器字体和屏幕尺寸来识别用户的身份验证设备。这些信息收集后可用于帮助确认用户和设备,并判断在之前的黑客攻击中是否使用了某台设备。
端点浏览器保护:识别恶意软件并防止黑客攻击,如Web会话操纵,cookie劫持和中间人攻击等会修改内容或插入欺诈性交易的恶意攻击。
应用程序保护:确保交易设备不被越狱,或防止应用程序的密钥被克隆或软件被修改。
行为分析:利用过去的客户交易模式数据来确定当前交易是否存在欺诈风险。大多数信用卡客户都了解这一功能,它可以在向客户示警前阻止可疑的交易。
行为生物识别技术:通过在用户浏览银行服务时监控其按键和鼠标的压力及点击时的动态模式,从而建立行为生物特征档案,并在特征发生变化时及时检测出。
交易签名:要求客户使用移动推送身份验证解决方案,用户通过简单的手指轻扫即可同意交易。
毫无疑问,为了与日益崛起的金融科技企业竞争,银行不得不增加新型服务,如账户汇总、支付发起以及其他各种我们今天难以想象的创新服务。
在这些金融创新服务不断发展的同时,银行作为身份监护人的角色仍是*的。随着金融科技的发展,银行可能会面临一系列挑战,但是他们的客户相信,客户的数据和身份信息仍是其能给予银行zui宝贵的资产。
十年后,您仍然拥有您的身份,但银行zui终将成为您值得信赖的身份守护者和提供商。
(本文作者:HID Global IAM解决方案金融机构市场总监Olivier Thirion de Bri)
