顶象 · 2022年04月06日

通过监管要求,看验证码的安全与适老化的平衡

验证码作为人机交互界面经常出现的关键要素,是身份核验、防范风险的重要组成,也是用户交互体验的第一关口,广泛应用电子银行、网上银行、手机银行上。

最新发布的《验证码“适老化”白皮书》,系统阐述了验证码的三大作用。

真人识别:真人识别的应用主要出现在网站平台或App的注册、登录界面,用于判断操作者是真人还是机器程序。主要是通过识别、输入区分出操作者的真伪。真人识别是验证码出现的初衷,也是验证码的首要价值。

身份核验:身份核验的应用主要出现在账户登录状态下,操作者在服务申请、重要信息发送、隐私信息修改、服务等界面,用于核实账号是否是操作者是否账户持有者。主要是基于账户预留信息与操作者提交信息比对,从而实现操作者的身份进行二次核验或确认。

安全预警:安全预警的应用主要出现在账号遭遇风险时,例如账号异地登录、更换登录设备、遭遇暴力破解、遭遇陌生人登录时。主要是基于操作者既往的行为、环境、设备等信息,与最新的操作行为进行比对,从而核验该敏感操作是否账户持有人所为。

验证码的安全要求

验证码的安全性不言而喻。监管部门多次发文要求,各银行保险机构在金融业务各项环节中,增强业务安全性,提升验证码的复杂程度,保障资金安全。

2020年2月,人民银行正式发布的《网上银行系统信息安全通用规范》对网上银行验证码提出了具体要求。要求网上银行的验证码应随机产生,采取图片底纹干扰、颜色变换、设置非连续性及旋转图片字体、变异字体显示样式、交互式认证等有效方式,防止验证码被自动识别。 验证码应具有使用时间限制并仅能使用一次。

2020年3月,中国人民银行发布的《移动金融客户端应用软件安全管理规范》对验证码安全性也有详细描述。要求各金融机构加强客户端软件设计、开发、发布、维护等环节的安全管理,构建覆盖全生命周期的管理机制,切实保障客户端软件安全。其中,在身份认证安全中强调,若采用图形验证码作为验证的辅助要素,图形验证码应具有使用时间限制并仅能使用一次,图形验证码应由服务器生成,客户端源文件中不应包含图形验证码文本内容。

验证码对用户的干扰

验证码对于企业很重要,但对于用户来说,验证码带来干扰、浪费时间、影响体验。尤其对于老人来说更不方便,很多验证码是歪斜的字母汉字、复杂的图形、转瞬即变内容,老年人看不清、记不住,而且无法拖到指定位置,由此成为老年人使用数字金融服务第一道拦路虎。

最新发布《验证码“适老化”白皮书》显示,截至2021年6月,60岁及以上网民占比为12.2%,较2020年6月增长1.9个百分点。随着老年群体规模的不断扩大,其在网民中所占比例将进一步提高。

白皮书银行业.png

监管部门也多次发文要求在保证严格认证身份并明确老年人办理意愿的基础上改进验证方式,提升老年人使用体验。

2020年11月,国务院办公厅印发《关于切实解决老年人运用智能技术困难实施方案的通知》,要求推动金融机构、非银行支付机构、网络购物平台等优化用户注册、银行卡绑定和支付流程,打造大字版、语音版、民族语言版、简洁版等适老手机银行APP,提升手机银行产品的易用性和安全性,便利老年人进行网上购物、订餐、家政、生活缴费等日常消费。

2021年3月,人民银行关于印发《移动金融客户端 应用软件无障碍服务建设方案》特别提到,对于非文本验证码,应提供可被不同类型感官(视觉、听觉、触 觉等)接受的替代表现形式。

2021年3月,银保监会发布《关于银行保险机构切实解决老年人运用智能技术困难的通知》,要求各银行保险机构要根据老年人的使用习惯,在用户注册、银行卡绑定和支付流程等环节,在保证严格认证身份并明确老年人办理意愿的基础上改进验证方式,提升老年人使用体验。

2021年4月,工信部发布《移动互联网应用(APP)适老化通用设计规范》,对APP改造作出字体大小、颜色用途、手势控制、验证码操作等13项具体技术要求,并特别提到,如果移动应用中存在非文本验证码(如拼图类、选图类验证方式)等老年人不易理解的验证方式,则应提供可被不同类型感官(视觉、听觉等)接受的替代表现形式,例如文字或语音形式,以适应老年人的使用需求。

安全与体验如何兼容?

一方面,数字金融面临的风险越来越多,越来越复杂,需要进一步提升安全性;另一方面,越来越多的公共服务从线下搬到线上,对老年人无障碍熟练使用提出更高要求,需要进一步满足适老化的需求。

顶象无感验证集设备指纹、行为校验、操作校验、地理位置校验等多项功能与一身,基于设备、时间、访问频率、操作轨迹等信息,智能分析与预先判定操作者是合法用户还是仿冒者,进而判断是否需要弹出验证码:对于合法用户,免验证即通过;对于异常用户,根据潜在风险等级进行二次验证或直接拦截。既保障安全,又提升操作体验。

顶象无感验证不仅对视觉验证码进行了大幅视觉优化,并提供语音验证码供选择,还支持键盘快捷键实现语音验证码的重新播放、切换等操作。同时,无感验证还提供视觉验证与短信验证的组合呈现,让操作者选择适合的验证方式。

顶象无感验证不再是一个简易工具验证码,而是具备智能交互、实时计算、模型分析、决策判断等能力综合性安全系统。

为了证良好满足适老化和无障碍的需求,顶象无感验证做了如下创新:

验证升级。将体验糟糕的传统字符验证码进行升级替换为更容易被用户接受的滑块验证,并支持配合适老化工具或浏览器进行统一放大,大幅老年人体验。

感官验证。顶象无感验证提供语音、短信等不同验证方式,满足老年人在不同场景上使用时的优化诉求。

无障碍验证。顶象无感验证能够智能分析与预先判定操作者是合法用户还是仿冒者,对于合法用户,免验证即通过;对于异常用户,根据潜在风险等级进行二次验证或直接拦截,实现对老年人和特殊群体的无打扰。

顶象是国内领先的业务安全公司,旨在帮助企业构建自主可控的业务安全体系,实现业务的可持续增长。截止目前,已为中国银联、中国银行、交通银行、中信银行、平安银行、江苏银行、宁波银行、南京银行等数十家金融机构提供专业服务。

推荐阅读
关注数
6
文章数
221
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息