在这个互联网大发展的世界里,只要上网,每个人的信息都不可能绝对安全。事实上,安全只是相对概念,世上没有绝对的安全。对于用户来说,账号和密码的被盗始终存在可能性,尤其在信息泄露比较猖獗的今天,盗号者要拼凑一个人的信息,然后利用这些信息去盗号,难度已经没有那么高了。
于是,一个新的课题是,有没有比密码更靠谱的安全方式?
(一)你是你么?
很多人遇到过,当你使用支付宝,输入了错误密码,或者刚刚到达一个从来没有去过的地区,或者使用了一个以前没有使用过的通信网络,支付宝也许会要求你输入短信校验码,甚至是身份信息来进行验证。原因是系统产生了一些怀疑,想确认,究竟是否你本人在操作支付宝,疑惑是盗贼窃取了你的支付宝。其实,这是支付宝后台的风控大脑在发挥作用。
风控大脑实际上就是现在火热的人工智能在支付安全上的应用,目的就是要实现密码即便被盗,系统也有能力保护用户的资金安全。
简单的说,这个风控大脑通过对用户资料和交易行为等大数据的积累,包括用户账户资料、设备、位置、行为、关系和偏好等方面,对用户进行了系统性的长期信息识别,形成了用户的支付行为画像。如果用户在某次登陆或支付的过程违背常理或者表现一致,系统就会自动识别出来,对风险进行评估打分,会要求用户提供更多的资料来审核,甚至会直接叫停支付行为,从而保护用户的资金安全。
风控大脑技术并非未来科技,它其中所应用到的一些前沿技术,比如根据用户点击屏幕的指压、接触面积、节奏等,判断是否本人,据国外实验室测算,可以让判断风险的成功率提升7倍,支付宝在使用了这个技术后,风控能力大概提升了5倍。
(二)如何挡住网络盗贼
还是以支付宝为例(离钱近的公司,对安全自然是格外重视),来看看互联网企业是如何来抵挡网络盗贼的。
一个真实发生的案例:2014年6月7日,账号主任接收了伪基站10086的短信,主动输入了身份证信息和银行卡信息,并中手机木马。
当日深夜,骗子结合上述信息,成功获取校验码后修改登录密码,并在广州某小区登陆,之后又修改支付密码。接着,得意洋洋下单一台iphone5,打算用别人的钱,给自己换手机。
没想到,风控大脑直接判定交易失败,并对账户进行了限制。第二天,支付宝客服给用户打电话,确认用户账户是被盗了,并引导其重置密码,成功杜绝了一次可能发生的安全事故。
风控大脑拒绝的原因就是前面所说的,盗贼的操作习惯和主人的日常支付行为不符合,这里面包括,使用的设备不是日常设备,登陆的位置不是日常位置,主人经常使用的密码在深夜被突然窜改,以及突然购买大件数码产品(主人平时不怎么网购,主要是购买理财产品)。
一个人的密码容易被盗,但是长期累积的行为习惯却很难被模仿。当你本人就是个大而复杂的密码的时候,盗贼盗窃的几率就大大下降了。
(三)安全感与体验感的平衡难题
安全感和安全性,有时候似乎是一对矛盾体。
为了安全感,很多人会把体验做得很复杂,比如说使用很复杂的密码,或者经常更换密码,以此来提高安全水平。这种做法并没有不对,使用含有数字、字母或者其他特殊符号的密码是有利于提高安全等级,但是,这,太繁琐了,其实用户体验很不好,忘记密码的事儿,好多人都用过。
对于企业来说,如果为了用户觉得安全,而把所有的安全保障环节都设置到用户面前,那是很崩溃的。比如,在用户登陆账户或进行支付的时候,很多网站会要求输入验证码,包括随机数字、字母或文字、图片识别等,比较极端的,如12306,要求用户输入需要经过“智力测验”一般的图形问题。包括以往用户熟悉的各种口令卡,XX盾,都能让用户感觉到比较安全,因为所有安全的关卡都出现在了用户面前。但实际上,这让很多人的体验都抓狂,这也是以往的网络支付没有大发展的主要原因。
可以预见,未来,我们可能会遇到体验感上升,安全感受损的问题,因为,把更多的安全防护工作放到用户看不见的地方,是一种行业趋势。因为像密码这样,用户能感知到的,和自己操作的安全产品,在新形势下,其实本身的安全性也在受到挑战,并不如前面所说的这种风控大脑来得安全可靠。
所以,这可能是个过程,当用户逐步了解后台逻辑,更相信把风控这样专业的事情交给专业的企业去做的时候,他们自然能够放心地舍弃一些传统的东西,谁不愿意更便捷呢