透過監管要求,看驗證碼的安全與適老化的平衡

頂象技術發表於2022-11-24

驗證碼作為人機互動介面經常出現的關鍵要素,是身份核驗、防範風險的重要組成,也是使用者互動體驗的第一關口,廣泛應用電子銀行、網上銀行、手機銀行上。

最新發布的《驗證碼“適老化”白皮書》,系統闡述了驗證碼的三大作用。

真人識別:真人識別的應用主要出現在網站平臺或App的註冊、登入介面,用於判斷操作者是真人還是機器程式。主要是透過識別、輸入區分出操作者的真偽。真人識別是驗證碼出現的初衷,也是驗證碼的首要價值。

身份核驗:身份核驗的應用主要出現在賬戶登入狀態下,操作者在服務申請、重要資訊傳送、隱私資訊修改、服務等介面,用於核實賬號是否是操作者是否賬戶持有者。主要是基於賬戶預留資訊與操作者提交資訊比對,從而實現操作者的身份進行二次核驗或確認。

安全預警:安全預警的應用主要出現在賬號遭遇風險時,例如賬號異地登入、更換登入裝置、遭遇暴力破解、遭遇陌生人登入時。主要是基於操作者既往的行為、環境、裝置等資訊,與最新的操作行為進行比對,從而核驗該敏感操作是否賬戶持有人所為。

驗證碼的安全要求

驗證碼的安全性不言而喻。監管部門多次發文要求,各銀行保險機構在金融業務各項環節中,增強業務安全性,提升驗證碼的複雜程度,保障資金安全。

2020年2月,人民銀行正式釋出的《網上銀行系統資訊保安通用規範》對網上銀行驗證碼提出了具體要求。要求網上銀行的驗證碼應隨機產生,採取圖片底紋干擾、顏色變換、設定非連續性及旋轉圖片字型、變異字型顯示樣式、互動式認證等有效方式,防止驗證碼被自動識別。 驗證碼應具有使用時間限制並僅能使用一次。

2020年3月,中國人民銀行釋出的《移動金融客戶端應用軟體安全管理規範》對驗證碼安全性也有詳細描述。要求各金融機構加強客戶端軟體設計、開發、釋出、維護等環節的安全管理,構建覆蓋全生命週期的管理機制,切實保障客戶端軟體安全。其中,在身份認證安全中強調,若採用圖形驗證碼作為驗證的輔助要素,圖形驗證碼應具有使用時間限制並僅能使用一次,圖形驗證碼應由伺服器生成,客戶端原始檔中不應包含圖形驗證碼文字內容。

驗證碼對使用者的干擾

驗證碼對於企業很重要,但對於使用者來說,驗證碼帶來干擾、浪費時間、影響體驗。尤其對於老人來說更不方便,很多驗證碼是歪斜的字母漢字、複雜的圖形、轉瞬即變內容,老年人看不清、記不住,而且無法拖到指定位置,由此成為老年人使用數字金融服務第一道攔路虎。

最新發布《驗證碼“適老化”白皮書》顯示,截至2021年6月,60歲及以上網民佔比為12.2%,較2020年6月增長1.9個百分點。隨著老年群體規模的不斷擴大,其在網民中所佔比例將進一步提高。

監管部門也多次發文要求在保證嚴格認證身份並明確老年人辦理意願的基礎上改進驗證方式,提升老年人使用體驗。

2020年11月,國務院辦公廳印發《關於切實解決老年人運用智慧技術困難實施方案的通知》,要求推動金融機構、非銀行支付機構、網路購物平臺等最佳化使用者註冊、銀行卡繫結和支付流程,打造大字版、語音版、民族語言版、簡潔版等適老手機銀行APP,提升手機銀行產品的易用性和安全性,便利老年人進行網上購物、訂餐、家政、生活繳費等日常消費。

2021年3月,人民銀行關於印發《移動金融客戶端 應用軟體無障礙服務建設方案》特別提到,對於非文字驗證碼,應提供可被不同型別感官(視覺、聽覺、觸 覺等)接受的替代表現形式。

2021年3月,銀保監會發布《關於銀行保險機構切實解決老年人運用智慧技術困難的通知》,要求各銀行保險機構要根據老年人的使用習慣,在使用者註冊、銀行卡繫結和支付流程等環節,在保證嚴格認證身份並明確老年人辦理意願的基礎上改進驗證方式,提升老年人使用體驗。

2021年4月,工信部發布《移動網際網路應用(APP)適老化通用設計規範》,對APP改造作出字型大小、顏色用途、手勢控制、驗證碼操作等13項具體技術要求,並特別提到,如果移動應用中存在非文字驗證碼(如拼圖類、選圖類驗證方式)等老年人不易理解的驗證方式,則應提供可被不同型別感官(視覺、聽覺等)接受的替代表現形式,例如文字或語音形式,以適應老年人的使用需求。

安全與體驗如何相容?

一方面,數字金融面臨的風險越來越多,越來越複雜,需要進一步提升安全性;另一方面,越來越多的公共服務從線下搬到線上,對老年人無障礙熟練使用提出更高要求,需要進一步滿足適老化的需求。

頂象無感驗證集裝置指紋、行為校驗、操作校驗、地理位置校驗等多項功能與一身,基於裝置、時間、訪問頻率、操作軌跡等資訊,智慧分析與預先判定操作者是合法使用者還是仿冒者,進而判斷是否需要彈出驗證碼:對於合法使用者,免驗證即透過;對於異常使用者,根據潛在風險等級進行二次驗證或直接攔截。既保障安全,又提升操作體驗。

頂象無感驗證不僅對視覺驗證碼進行了大幅視覺最佳化,並提供語音驗證碼供選擇,還支援鍵盤快捷鍵實現語音驗證碼的重新播放、切換等操作。同時,無感驗證還提供視覺驗證與簡訊驗證的組合呈現,讓操作者選擇適合的驗證方式。

頂象無感驗證不再是一個簡易工具驗證碼,而是具備智慧互動、實時計算、模型分析、決策判斷等能力綜合性安全系統。

為了證良好滿足適老化和無障礙的需求,頂象無感驗證做了如下創新:

驗證升級。將體驗糟糕的傳統字元驗證碼進行升級替換為更容易被使用者接受的滑塊驗證,並支援配合適老化工具或瀏覽器進行統一放大,大幅老年人體驗。

感官驗證。頂象無感驗證提供語音、簡訊等不同驗證方式,滿足老年人在不同場景上使用時的最佳化訴求。

無障礙驗證。頂象無感驗證能夠智慧分析與預先判定操作者是合法使用者還是仿冒者,對於合法使用者,免驗證即透過;對於異常使用者,根據潛在風險等級進行二次驗證或直接攔截,實現對老年人和特殊群體的無打擾。

頂象是國內領先的業務安全公司,旨在幫助企業構建自主可控的業務安全體系,實現業務的可持續增長。截止目前,已為中國銀聯、中國銀行、交通銀行、中信銀行、平安銀行、江蘇銀行、寧波銀行、南京銀行等數十家金融機構提供專業服務。

相關文章