銀行應用如何識別你的身份 - 《華爾街日報》

Dalvin Brown

從多年的黑客攻擊和網絡釣魚事件中,我們學到一個重要教訓:僅憑用户名和密碼不足以保護我們最珍貴的賬户安全。

那麼,為什麼銀行應用程序不要求我們疊加額外的安全設置呢?

安全專家(以及本專欄作者)長期呼籲人們啓用雙重認證或其他應用保護工具。而智能手機上最敏感的銀行應用,卻往往不強制使用這些措施。

實際上,銀行在後台運行大量軟件來驗證用户真實性。登錄時考量的因素包括:時間、地理位置、設備IP地址、移動運營商,以及是否通過鏈接跳轉打開應用。任何與您獨特"數字指紋"不符的行為都可能觸發銀行對黑客或釣魚攻擊的懷疑,進而要求額外身份驗證步驟。

美國存款量最大的四家零售銀行——美國銀行、花旗集團、摩根大通和富國銀行表示,從用户打開應用到退出期間,他們運行着多層認證和監控系統。

“我們設置了多重冗餘控制機制,這些對終端用户往往不可見,“富國銀行執行副總裁兼網絡安全客户官塔米·哈德森表示,“這些措施能有效幫助我們主動識別被判定為存在風險或潛在風險的登錄嘗試。”

銀行的操作方式

過去,您可能被要求回答安全問題——“您第一隻寵物的名字是什麼?”

如今,安全專家和銀行軟件供應商表示,新的後台措施已佔據主導地位。有些系統會將用户輸入密碼的速度和節奏與此人之前的嘗試進行比對。其他系統則通過檢測用户點擊每個鍵時覆蓋的像素數,來分析輸入憑證時的按壓力度。

這種混合驗證方式主要應用於銀行應用程序,因為風險更高。銀行明白,如果客户對資金安全有任何疑慮,他們就會轉向其他機構。此外,銀行必須遵守聯邦法規,採用安全的數據管理實踐,如端到端加密。

Javelin Strategy & Research的首席欺詐與安全分析師約翰·巴扎德表示,所有這些因素都會影響銀行批准登錄或交易的決定。該機構評估數字銀行安全風險。

“如果某處突然出現異常,銀行有機會阻止、暫停或要求提供更多信息,”他補充道。

這些工具並非萬無一失。如果您的登錄憑證存儲在智能手機上,一個知道您手機密碼的小偷仍可能利用自動填充功能登錄。“但關鍵在於他們一旦突破後能走多遠,”巴扎德先生説。

即使這些防禦被攻破且資金被盜——更多是通過操縱受害者而非實際的黑客攻擊——資金通常也會通過其他方式得到保護。

你能做什麼

我們諮詢的四家銀行表示,保護用户免受欺詐意味着不會透露他們掌握的所有手段。不過,每家銀行都分享了其技術信息。

這四家銀行都支持蘋果設備的Face ID和Touch ID,以及安卓手機的指紋登錄。巴扎德先生説,生物識別技術可以讓你更容易登錄,而讓非本人更難登錄。這些應用還會在短時間不活動後自動將你登出。

可能還有其他安全層級,比如交易提醒、雙重(又稱兩步)驗證和一次性密碼,你可以選擇啓用。巴扎德先生説,銀行不會默認開啓所有功能,因為他們不想造成太多阻礙。

如果你確實想做更多,以下是各家銀行提供的安全選項:

美國銀行: 該銀行會在不同時間要求通過雙重驗證確認你的身份,比如當你進行轉賬或使用未識別的設備時。但你可以設置每次在移動應用上登錄時,都通過短信或電子郵件發送驗證碼進行提示。

在銀行的安全中心找到該工具,其中有一個清單詳細説明了提高賬户安全性的其他方法。

美國銀行可以通過短信或電子郵件發送有時效性的六位數驗證碼來確認你的身份。照片:SHARA TIBKEN/華爾街日報**大通銀行:**當您首次登錄或使用銀行服務器無法識別的設備時,大通銀行會通過電話、短信或電子郵件向客户發送驗證碼。

大通客户還可以在設置中選擇額外安全措施。您可以要求每次嘗試登錄網站時,除了用户名和密碼外,還需輸入通過電話、短信或電子郵件發送的一次性驗證碼。

大通用户可為網站登錄啓用一次性驗證碼。照片:DALVIN BROWN/華爾街日報**花旗銀行:**花旗移動應用不會自動要求用户開啓雙重認證。請前往個人資料>安全中心>兩步驗證並啓用該設置。啓用後,登錄時需要接收通過短信或電話發送的一次性代碼。注意:花旗正在更新其移動應用,因此流程可能有所不同。

開啓兩步驗證將為花旗網站和應用提供額外安全保障。照片:花旗銀行客户還可以激活賬户提醒功能,當您的餘額、支付、消費或賬户活動出現異常時,系統將通過短信或電子郵件通知您。

**富國銀行:**進入手機應用的"安全與個人資料"版塊開啓雙重驗證。啓用後,每次登錄時系統將通過短信、郵件、電話或推送通知要求客户輸入驗證碼。(您也可以選擇在通過手機應用登錄時免除此驗證步驟。)

富國銀行可向您的手機、電子郵箱或硬件安全設備發送專屬驗證碼。圖片來源:WILSON ROTHMAN/華爾街日報即使您未啓用雙重驗證,富國銀行在登錄過程中或向/從非富國銀行新賬户轉賬時,仍可能發送一次性密碼進行身份核驗。

如需額外登錄保護,可花費25美元購買富國銀行的便攜式安全設備。該設備每60秒生成並顯示隨機動態密碼。若遺失需聯繫客服處理。

欲獲取更多《華爾街日報》科技資訊、產品評測、使用建議及頭條新聞,請訂閲我們的每週通訊

寫信給達爾文·布朗,郵箱:[email protected]

刊登於2023年4月17日印刷版,標題為《銀行應用如何識別您的身份》。