2022年關于網絡安全和身份驗證的發展趨勢 - 網安 - 專業的網絡安全產業、社區、知識平臺

在按需經濟中，很多用戶希望能夠與他們的服務提供商互動(無論是流媒體服務、在線零售商還是銀行)，并且只需點擊鍵盤和鼠標就可以輕松完成。而新冠疫情帶來的遠程工作加速了這種需求。

很顯然，客戶行為上的許多變化都將繼續存在。Sinch公司在去年進行的一項消費者研究發現，58%的受訪者表示將繼續避免人群聚集，52%的受訪者表示將避免出差旅行，46%的受訪者將會減少在商店內的購物時間。

金融服務提供商需要利用數據、人工智能和自動化來提供個性化和無縫的客戶體驗，無論客戶是在線、通過應用程序或聊天機器人，還是撥打客戶服務電話，因此面臨著越來越大的壓力。通過提供數字接觸的客戶體驗對于贏得和留住客戶至關重要。

事實上，銀行的數字化轉型是建立在數字信任的基礎上，其中包括入職、身份驗證和支持對話。然而，銀行業在提供數字化客戶體驗這些方面仍然落后，并降低了客戶滿意度。

在任何情況下，驗證用戶似乎都是以犧牲用戶體驗為代價的一個安全問題，或者更糟糕的是缺乏參與度。企業可以從其他行業吸取經驗教訓，在這些行業中，可以實現有針對性、但有價值的參與，盡管安全門檻較低。

對于許多企業或部門來說，確保訪問安全的首選方法是雙因素身份驗證(2FA)。身份驗證有三個公認的因素：知道的東西(例如密碼)、擁有的東西(例如硬件令牌或智能手機)以及身份(例如指紋)。雙因素身份驗證(2FA)意味著需要使用其中兩個選項，而最常見的是用戶通過簡單的短信接收數字代碼。

盡管使用短信驗證實現雙因素身份驗證(2FA)，對于使用SIM欺詐的網絡攻擊為者并非完全可靠，但銀行業嚴重依賴這種方法，并證明其表現良好，尤其是在交易批準方面。但是，金融機構的安全措施需要的不僅僅是一次性密碼。

雖然應始終使用適當的身份驗證技術，但這里要指出的是，使用短信的雙因素身份驗證(2FA)可能會以用戶體驗為代價。它會打斷用戶的流程。即使是一個簡單的過程，例如輸入一次性數字密碼，也需要用戶等待短信到達、更改應用程序、復制代碼，然后返回應用程序或筆記本電腦，并粘貼或輸入驗證碼，然后再返回。

雖然移動設施操作系統讓輸入一次性密碼變得更容易，而且場景切換更少，但它仍然代表著一種顛覆，而在網絡世界中，消費者對產品或服務的滿意度可能會因糟糕的體驗而降低，因此將摩擦保持在最低限度至關重要。

此外，雖然雙因素身份驗證(2FA)是一種基本的安全措施，但消費者并不總是愿意使用。有證據表明情況確實如此。Yubico公司在2020年進行的一項研究發現，23%的受訪者認為短信密碼非常不方便。

雙因素身份驗證(2FA)的成本也可能很昂貴。它取決于移動運營商或聚合商提供的短信批發價格(在新加坡等一些國家的短信批發價格很高，因此令人望而卻步)。大型零售銀行嚴重依賴雙因素身份驗證(2FA)，預計每月會發送數百萬條短信消息。而如果取消這一步驟可能意味著節省大量的成本。

移動設備身份驗證和全渠道參與已經發展。新的身份驗證技術現在變得可用，通常是通過通信平臺啟用的API。于是出現了兩種選擇：

數據驗證的工作原理是，移動網絡運營商在用戶使用移動數據時分配給其電話號碼的IP地址之間的相互作用。驗證的工作原理是，確認與試圖執行驗證的最終用戶的身份相關聯的電話號碼與最終用戶移動數據會話相關聯的號碼相同。

該服務非常快(不到兩秒)并且非常安全，因為不可能通過“中間人攻擊”或社交工程進行攔截，因為它不依賴于用戶在某些時候必須記住的任何信息。

在最終用戶設備上發起和終止語音通話。主叫方號碼是從與服務相關聯的專用號碼池中隨機選擇的。智能手機會自動接聽電話，并使用主叫方號碼作為身份驗證，而不是通常通過短信發送的一次性密碼進行驗證。

與數據驗證類似，Flash呼叫比短信更快、通常更安全且更便宜，因為移動網絡運營商只是將連接確認為未應答呼叫。研究機構估計，采用Flash呼叫可以節省高達25%的身份驗證成本，并且可以將交付速度提高70%。當考慮一些銀行可能使用數百萬個短信作為他們唯一的客戶身份驗證渠道時，這一點很重要。

還需要考慮可訪問性，這是銀行致力改進的領域，并且需要滿足合規規范。例如，對于基于短信的雙因素身份驗證(2FA)，對視力受損者的身份驗證幾乎沒有靈活性。然而現在，電話驗證(用戶收到自動電話并讀出數字密碼)已通過通信平臺廣泛使用。

隨著銀行和與之集成的支付平臺越來越多地在網上轉移，用戶體驗正成為頭等大事。大多數精通安全的企業都明白，啟用雙因素身份驗證是保護在線帳戶的最佳方式之一。

這讓人們想到了關于Flash呼叫驗證和數據驗證身份驗證技術的最重要的一點。它們都在后臺發生，無需用戶干預。因此，它們不僅安全且便宜得多，而且是無縫的。

在不久的將來，就像許多其他即服務平臺一樣，人們可能會看到提供單一統一的API，這些API可以提供身份驗證，能夠根據消費者對流暢的用戶體驗、可訪問性和服務特征的期望來確定最合適的方法——帳戶注冊、交易批準或登錄，以及任何給定企業的業務目標，例如增加新銀行應用程序的成功登錄，或只是降低運營成本。