2022年关于网络安全和身份验证的发展趋势 - 网安 - 专业的网络安全产业、社区、知识平台

在按需经济中，很多用户希望能够与他们的服务提供商互动(无论是流媒体服务、在线零售商还是银行)，并且只需点击键盘和鼠标就可以轻松完成。而新冠疫情带来的远程工作加速了这种需求。

很显然，客户行为上的许多变化都将继续存在。Sinch公司在去年进行的一项消费者研究发现，58%的受访者表示将继续避免人群聚集，52%的受访者表示将避免出差旅行，46%的受访者将会减少在商店内的购物时间。

金融服务提供商需要利用数据、人工智能和自动化来提供个性化和无缝的客户体验，无论客户是在线、通过应用程序或聊天机器人，还是拨打客户服务电话，因此面临着越来越大的压力。通过提供数字接触的客户体验对于赢得和留住客户至关重要。

事实上，银行的数字化转型是建立在数字信任的基础上，其中包括入职、身份验证和支持对话。然而，银行业在提供数字化客户体验这些方面仍然落后，并降低了客户满意度。

在任何情况下，验证用户似乎都是以牺牲用户体验为代价的一个安全问题，或者更糟糕的是缺乏参与度。企业可以从其他行业吸取经验教训，在这些行业中，可以实现有针对性、但有价值的参与，尽管安全门槛较低。

对于许多企业或部门来说，确保访问安全的首选方法是双因素身份验证(2FA)。身份验证有三个公认的因素：知道的东西(例如密码)、拥有的东西(例如硬件令牌或智能手机)以及身份(例如指纹)。双因素身份验证(2FA)意味着需要使用其中两个选项，而最常见的是用户通过简单的短信接收数字代码。

尽管使用短信验证实现双因素身份验证(2FA)，对于使用SIM欺诈的网络攻击为者并非完全可靠，但银行业严重依赖这种方法，并证明其表现良好，尤其是在交易批准方面。但是，金融机构的安全措施需要的不仅仅是一次性密码。

虽然应始终使用适当的身份验证技术，但这里要指出的是，使用短信的双因素身份验证(2FA)可能会以用户体验为代价。它会打断用户的流程。即使是一个简单的过程，例如输入一次性数字密码，也需要用户等待短信到达、更改应用程序、复制代码，然后返回应用程序或笔记本电脑，并粘贴或输入验证码，然后再返回。

虽然移动设施操作系统让输入一次性密码变得更容易，而且场景切换更少，但它仍然代表着一种颠覆，而在网络世界中，消费者对产品或服务的满意度可能会因糟糕的体验而降低，因此将摩擦保持在最低限度至关重要。

此外，虽然双因素身份验证(2FA)是一种基本的安全措施，但消费者并不总是愿意使用。有证据表明情况确实如此。Yubico公司在2020年进行的一项研究发现，23%的受访者认为短信密码非常不方便。

双因素身份验证(2FA)的成本也可能很昂贵。它取决于移动运营商或聚合商提供的短信批发价格(在新加坡等一些国家的短信批发价格很高，因此令人望而却步)。大型零售银行严重依赖双因素身份验证(2FA)，预计每月会发送数百万条短信消息。而如果取消这一步骤可能意味着节省大量的成本。

移动设备身份验证和全渠道参与已经发展。新的身份验证技术现在变得可用，通常是通过通信平台启用的API。于是出现了两种选择：

数据验证的工作原理是，移动网络运营商在用户使用移动数据时分配给其电话号码的IP地址之间的相互作用。验证的工作原理是，确认与试图执行验证的最终用户的身份相关联的电话号码与最终用户移动数据会话相关联的号码相同。

该服务非常快(不到两秒)并且非常安全，因为不可能通过“中间人攻击”或社交工程进行拦截，因为它不依赖于用户在某些时候必须记住的任何信息。

在最终用户设备上发起和终止语音通话。主叫方号码是从与服务相关联的专用号码池中随机选择的。智能手机会自动接听电话，并使用主叫方号码作为身份验证，而不是通常通过短信发送的一次性密码进行验证。

与数据验证类似，Flash呼叫比短信更快、通常更安全且更便宜，因为移动网络运营商只是将连接确认为未应答呼叫。研究机构估计，采用Flash呼叫可以节省高达25%的身份验证成本，并且可以将交付速度提高70%。当考虑一些银行可能使用数百万个短信作为他们唯一的客户身份验证渠道时，这一点很重要。

还需要考虑可访问性，这是银行致力改进的领域，并且需要满足合规规范。例如，对于基于短信的双因素身份验证(2FA)，对视力受损者的身份验证几乎没有灵活性。然而现在，电话验证(用户收到自动电话并读出数字密码)已通过通信平台广泛使用。

随着银行和与之集成的支付平台越来越多地在网上转移，用户体验正成为头等大事。大多数精通安全的企业都明白，启用双因素身份验证是保护在线帐户的最佳方式之一。

这让人们想到了关于Flash呼叫验证和数据验证身份验证技术的最重要的一点。它们都在后台发生，无需用户干预。因此，它们不仅安全且便宜得多，而且是无缝的。

在不久的将来，就像许多其他即服务平台一样，人们可能会看到提供单一统一的API，这些API可以提供身份验证，能够根据消费者对流畅的用户体验、可访问性和服务特征的期望来确定最合适的方法——帐户注册、交易批准或登录，以及任何给定企业的业务目标，例如增加新银行应用程序的成功登录，或只是降低运营成本。