银行应用如何识别你的身份 - 《华尔街日报》

Dalvin Brown

从多年的黑客攻击和网络钓鱼事件中,我们学到一个重要教训:仅凭用户名和密码不足以保护我们最珍贵的账户安全。

那么,为什么银行应用程序不要求我们叠加额外的安全设置呢?

安全专家(以及本专栏作者)长期呼吁人们启用双重认证或其他应用保护工具。而智能手机上最敏感的银行应用,却往往不强制使用这些措施。

实际上,银行在后台运行大量软件来验证用户真实性。登录时考量的因素包括:时间、地理位置、设备IP地址、移动运营商,以及是否通过链接跳转打开应用。任何与您独特"数字指纹"不符的行为都可能触发银行对黑客或钓鱼攻击的怀疑,进而要求额外身份验证步骤。

美国存款量最大的四家零售银行——美国银行、花旗集团、摩根大通和富国银行表示,从用户打开应用到退出期间,他们运行着多层认证和监控系统。

“我们设置了多重冗余控制机制,这些对终端用户往往不可见,“富国银行执行副总裁兼网络安全客户官塔米·哈德森表示,“这些措施能有效帮助我们主动识别被判定为存在风险或潜在风险的登录尝试。”

银行的操作方式

过去,您可能被要求回答安全问题——“您第一只宠物的名字是什么?”

如今,安全专家和银行软件供应商表示,新的后台措施已占据主导地位。有些系统会将用户输入密码的速度和节奏与此人之前的尝试进行比对。其他系统则通过检测用户点击每个键时覆盖的像素数,来分析输入凭证时的按压力度。

这种混合验证方式主要应用于银行应用程序,因为风险更高。银行明白,如果客户对资金安全有任何疑虑,他们就会转向其他机构。此外,银行必须遵守联邦法规,采用安全的数据管理实践,如端到端加密。

Javelin Strategy & Research的首席欺诈与安全分析师约翰·巴扎德表示,所有这些因素都会影响银行批准登录或交易的决定。该机构评估数字银行安全风险。

“如果某处突然出现异常,银行有机会阻止、暂停或要求提供更多信息,”他补充道。

这些工具并非万无一失。如果您的登录凭证存储在智能手机上,一个知道您手机密码的小偷仍可能利用自动填充功能登录。“但关键在于他们一旦突破后能走多远,”巴扎德先生说。

即使这些防御被攻破且资金被盗——更多是通过操纵受害者而非实际的黑客攻击——资金通常也会通过其他方式得到保护。

你能做什么

我们咨询的四家银行表示,保护用户免受欺诈意味着不会透露他们掌握的所有手段。不过,每家银行都分享了其技术信息。

这四家银行都支持苹果设备的Face ID和Touch ID,以及安卓手机的指纹登录。巴扎德先生说,生物识别技术可以让你更容易登录,而让非本人更难登录。这些应用还会在短时间不活动后自动将你登出。

可能还有其他安全层级,比如交易提醒、双重(又称两步)验证和一次性密码,你可以选择启用。巴扎德先生说,银行不会默认开启所有功能,因为他们不想造成太多阻碍。

如果你确实想做更多,以下是各家银行提供的安全选项:

美国银行: 该银行会在不同时间要求通过双重验证确认你的身份,比如当你进行转账或使用未识别的设备时。但你可以设置每次在移动应用上登录时,都通过短信或电子邮件发送验证码进行提示。

在银行的安全中心找到该工具,其中有一个清单详细说明了提高账户安全性的其他方法。

美国银行可以通过短信或电子邮件发送有时效性的六位数验证码来确认你的身份。照片:SHARA TIBKEN/华尔街日报**大通银行:**当您首次登录或使用银行服务器无法识别的设备时,大通银行会通过电话、短信或电子邮件向客户发送验证码。

大通客户还可以在设置中选择额外安全措施。您可以要求每次尝试登录网站时,除了用户名和密码外,还需输入通过电话、短信或电子邮件发送的一次性验证码。

大通用户可为网站登录启用一次性验证码。照片:DALVIN BROWN/华尔街日报**花旗银行:**花旗移动应用不会自动要求用户开启双重认证。请前往个人资料>安全中心>两步验证并启用该设置。启用后,登录时需要接收通过短信或电话发送的一次性代码。注意:花旗正在更新其移动应用,因此流程可能有所不同。

开启两步验证将为花旗网站和应用提供额外安全保障。照片:花旗银行客户还可以激活账户提醒功能,当您的余额、支付、消费或账户活动出现异常时,系统将通过短信或电子邮件通知您。

**富国银行:**进入手机应用的"安全与个人资料"版块开启双重验证。启用后,每次登录时系统将通过短信、邮件、电话或推送通知要求客户输入验证码。(您也可以选择在通过手机应用登录时免除此验证步骤。)

富国银行可向您的手机、电子邮箱或硬件安全设备发送专属验证码。图片来源:WILSON ROTHMAN/华尔街日报即使您未启用双重验证,富国银行在登录过程中或向/从非富国银行新账户转账时,仍可能发送一次性密码进行身份核验。

如需额外登录保护,可花费25美元购买富国银行的便携式安全设备。该设备每60秒生成并显示随机动态密码。若遗失需联系客服处理。

欲获取更多《华尔街日报》科技资讯、产品评测、使用建议及头条新闻,请订阅我们的每周通讯

写信给达尔文·布朗,邮箱:[email protected]

刊登于2023年4月17日印刷版,标题为《银行应用如何识别您的身份》。