银行中的数字身份

银行中的数字身份CEO 们需要了解的最佳实践和未来方向罗恩 · 舍夫林研究主任基石顾问 目录1 数字身份 ： 与互联网一样古老的挑战3 数字身份管理的技术发展7 塑造数字身份管理的五种力量15 当今数字身份管理的最佳实践17Conclusion19 关于基石顾问19Avoka （ 现为 Temenos ）20尾注© 2018 基石顾问。保留所有权利。未经书面许可 ， 严禁以任何方式复制本报告。 1© 2018 基石顾问。保留所有权利。未经书面许可 ， 严禁以任何方式复制本报告。数字标识:像互联网一样古老的挑战尽管数字身份的话题在 2018 年每天都受到关注 ， 但这并不是一个新话题。 1993 年 ， 《纽约客》发表了关于互联网的最具标志性的漫画之一 （ 图 1 ） 。在其中 ， 一只狗对另一只狗说 ： “在互联网上 ， 没人知道你是狗。 ”25 年前 ， 许多人将保持匿名的能力视为互联网的特征 ， 而不是责任。尽管有四分之一世纪的技术进步 ， 包括电子商务 ， 社交媒体和智能手机 ：“仍然没有简单的方法可以在网上证明你不是狗 ， 超过 18 岁 ， 住在某个地址 ， 毕业于某个学校 ， 在特定公司工作或拥有特定资产。这些关于我们自己的断言很难信任 ， 因为它们几乎无法验证。 ”1图 1:关于数字身份的纽约客卡通为什么数字身份仍然是一个问题 ？来源 ： 《纽约客》如果我们已经看到了 25 年的技术进步 ， 那么为什么数字身份仍然是一个问题 ？ 三个原因 ：1 ） 数字证书没有标准化的格式 ； 2 ） 没有标准化的方法来验证数字证书的来源和完整性 ； 3 ） 过去 25 年中发生的技术进步加剧了问题 ， 而不是减轻了问题。过去 10 年，智能手机采用率的快速增长超过了任何行业或政府应对数字身份挑战的能力。分布式账本技术的出现 (例如g.， 区块链) 承诺了数字身份管理的新方法，但出现得相对较晚。随着物联网 (IoT) 的兴起，数字身份出现了一个新的现实 ： “在互联网上，没有人知道你是一个伪装成狗的冰箱。“.2 2© 2018 基石顾问。保留所有权利。未经书面许可 ， 严禁以任何方式复制本报告。为什么银行没有做一些关于数字身份的事情 ？多种因素使 U.S.银行不会攻击数字身份的情况。在美国，消费者对银行账户数字访问的采用已经落后于其他行业和国家。银行开始提供网上银行服务 20 年后，只有大约三分之二的美国人在网上访问他们的账户，只有大约三分之一的人通过移动设备访问。使情况复杂化的是，监管环境使消费者免受欺诈活动的侵害。因此，银行几乎没有感受到来自消费者或监管机构的压力来解决数字身份问题。到目前为止。银行高管已准备好就数字身份问题采取行动。当被问及他们对 2018 年的担忧时 ， 银行首席执行官将网络安全排在首位 ， 与利率和资金成本并列 （ 图 2 ） 。3图 2:银行首席执行官的担忧2018 年你最关心的是什么 ？(最多选择三个)网络安全问题利率环境资金成本效率 / 非利息支出新客户增长监管负担经济疲软 / 贷款需求非利息收入信贷质量 / 问题贷款14%4%21%29%46%46%46%43%39%资料来源 ： 基石顾问对 262 名银行和信用社高管的调查 ， 2017 年第四季度前进的道路是什么 ？ 本报告将探讨三种途径 ： 1 ） 数字身份管理的技术发展 ； 2 ） 数字账户开立和身份验证的最佳实践 ； 3 ） 塑造数字身份管理的力量。 3© 2018 基石顾问。保留所有权利。未经书面许可 ， 严禁以任何方式复制本报告。数字身份管理技术的发展有经验的银行家理解 “新的银行渠道出现了 ， 但旧的渠道永远不会消失 ” 的格言。身份管理是相似的: 新的识别方法出现了 ， 但旧的身份验证器不会消失。传统的身份验证器包括一个人拥有的 (访问徽章、身份证明文件) 和知道的 (密码、 PIN 、秘密事实) 。过去四分之一世纪的技术进步增加了两种基于生物特征的身份认证类别 ： 一个人是什么 （ 语音 ， 指纹 ， 面部 ） 和做什么 （ 击键活动 ， 设备使用 ） （ 图 3 ） 。图 3:身份认证者物理生物计量学行为生物计量学什么人HAS:访问徽章 ID 文档智能卡安全令牌手机什么人知识:密码密码 PIN 码序列秘密事实什么人IS:指纹面部图像虹膜图像静脉图像声纹什么人DOES:击键活动设备使用情况通道行为物理生物计量学各种形式的物理生物识别技术都有优点和缺点 ：来源 ： 埃森哲Voice语音识别对用户体验的干扰最小 ， 适用于各种设备。然而 ， 缺点是 ， 由于环境噪声 ， 它容易受到误报 ， 并且容易通过重播录制的语音进行欺骗。Face消费者熟悉并乐于自拍。如果将二维面部识别与指纹结合使用 ， 则可提供不错的安全性 ， 如果使用三维技术 ， 则可提供出色的安全性。但是 ， 该技术容易受到光线 ， 姿势 ， 表情和面部外观变化的影响 ，和欺骗是可能的二维方法。 4© 2018 基石顾问。保留所有权利。未经书面许可 ， 严禁以任何方式复制本报告。指纹指纹识别在智能手机上的普及 （ 预计到 2020 年将在 100 ％ 的设备上使用 ） 使这种方法在消费者中广为接受。但是 ， 湿手指或粗糙的手指可能难以读取指纹 ， 并且扫描仪容易受到欺骗。虹膜虹膜识别 （ 顺便说一句 ， 没有虹膜 “扫描 ” 之类的东西 ） 由于难以欺骗而提供了比面部识别或指纹更高的安全性。但是它需要特殊的硬件 ， 并且在阳光下 ， 戴眼镜的人或患有白内障等眼部疾病的人中效果不佳。静脉最近的研究声称 ， 静脉读数器 （ 查看手掌静脉 ） 的准确性与虹膜识别一样好。4 此外 ， 医学界正在进行静脉训练 ， 因为发现静脉识别对无意识的患者有效 （ 通常在银行中不是问题 ， 但您永远不会知道 ） 。这种方法的当前缺点是读者的高成本。行为生物计量学尽管行为生物识别技术并不新鲜 — — 测量与人类活动相关的模式可以追溯到 19 世纪 60 年代 — — 但在过去的几年里 ， 它引起了越来越多的兴趣。这种方法评估人们如何与他们的设备互动 ， 包括打字速度和模式 ， 甚至他们如何拿着设备 (图 4) 。图 4:行为生物识别来源 ： BioCatch行为生物识别技术可用于检测帐户接管 （ ATO ） 和新帐户欺诈。根据 Aite Group 的说法 ：“行为生物识别技术通过检测与用户正常交互模式的偏差而成为早期的危险信号。欺诈者输入数据的方式与真正的消费者不同 - 他们对数据的熟悉程度不同 ， 因此他们更有可能反复删除和修复拼写错误。犯罪分子也更有可能复制和粘贴数据 （ 从暗网购买的数据转储中提取数据 ） ， 并且由于他们的频繁使用 ， 他们将更加熟悉应用程序布局 ， 这表现在与真正的消费者相比 ， 互动的速度和模式大不相同。5 5© 2018 基石顾问。保留所有权利。未经书面许可 ， 严禁以任何方式复制本报告。英国国家威斯敏斯特银行 (NatWest) 已经部署了行为生物识别工具, 为每个客户建立一个独特的生物特征配置文件, 并在用户每次登录银行的移动应用程序或网上银行网站时对其进行比较。“行为生物识别技术特别擅长识别远程访问特洛伊木马等恶意软件的工作。机器自动化行为与人类行为没有相似之处。 [而且] 它提供了一种提醒和防止欺诈发生的能力 ， 而不是帮助您在事件发生后进行检测或纠正。 ”6什么在实践中 ， 行为生物识别技术对于证明用户不是他或她声称的人比证明用户是他或她声称的人更有效。由于没有捕获物理生物识别元素 ， 因此行为生物识别对最终用户是透明的 ， 并且通常不受监管审查。但是 ， 一个缺点是它是 JavaScript 密集型的 ， 需要在每个网页上都有标签。评论家指出了其他缺点 ：“只要有人设法在您完全匿名的网络 / 网站上建立您的击键的生物特征配置文件 ， 就可以使用该配置文件在您正在使用的其他网站上识别您。通过应用击键动态 ， 广告商可以在不使用任何当前跟踪技术的情况下识别您。 ”7用户数据验证银行长期以来一直依靠大型信贷机构来验证客户和潜在客户的个人身份信息 （ PII ） 。然而 ， 在 2017 年 Equifax 违规之后 ， 人们开始质疑依靠这些机构的可行性和智慧。在 Equifax 事件发生后不久的一次行业会议上 ， 高级零售银行高管闭门会议上 ， 美国十大银行的首席零售银行官被问及他的银行是否会继续使用 Equifax 。他的回答 ： “当然。我们还将使用谁 ？ ”新的数据源正在出现 — — 如果不是为了取代各局 ， 至少是为了补充它们。这些来源包括:文件捕获像 Mitek 这样的市场领导者的解决方案使用智能手机的相机拍摄身份证件 （ 例如 ， 驾驶执照或公用事业账单 ） 的照片 ， 验证凭证 ， 并将数据解析到登机系统中。许多解决方案验证文档是真实的 ， 有些解决方案包括身份数据元素验证解决方案的自动馈送。SO 6© 2018 基石顾问。保留所有权利。未经书面许可 ， 严禁以任何方式复制本报告。移动设备所有权随着智能手机在美国的普及 （ 55 至 75 岁之间的消费者中有三分之二拥有智能手机 ），该设备已成为身份验证中越来越重要的工具，而不仅仅是捕获生物特征。根据 Aite Grop 的说法，“与移动网络运营商的实时接口可以肯定地验证设备属于移动帐户上授权的人，并在设备丢失或被盗时提供通知。它还提供有关帐户的风险指标，例如。g.， 是否。号码是最近移植的 ， 以及该账户存在了多长时间。 “8Social媒体随着社交媒体平台的广泛采用 ， 来自 LinkedIn 等平台的数据为人们是否真的是他们所说的人提供了强有力的线索。对这一数据来源的批评者会指出伪造社交媒体账户的难易程度。这可能是真的 ， 但一个好的社交身份解决方案看起来会在账户的年龄 ， 数据的深度 ， 账户与其他账户的互动程度 ， 该账户与其他连接账户之间的一致性 ， 以及文本分析 ， 以确认账户是真实的 ， 所提供的信息是真实的。可疑身份可疑身份列表包括识别先前已经与欺诈相关联的数据元素, 其提供高风险活动的早期警告, 例如, 如果身份或设备被用于在多个提供商处同时开设多个账户。该概念的一个变体是暗网爬虫，它监视寻找支付卡或身份数据以供出售的地下网站。 7© 2018 基石顾问。保留所有权利。未经书面许可 ， 严禁以任何方式复制本报告。五力塑造数字身份管理数字身份管理在未来五到 20 年将走向何方 ？ 五种力量正在影响数字身份管理的方向 ： 1 ） 基于设备与基于云的身份管理 ； 2 ） 身份平台提供商 ； 3 ） 物联网 ； 4 ） 区块链 ； 5 ） 地缘政治趋势。基于设备与云的身份管理业界激烈的争论之一是应该在哪里管理数字身份 - 在设备上还是在云中 （ 即服务器 ） ？• 以设备为中心的体系结构。分析、生物识别模板创建、存储和匹配都在设备上本地进行。在符合 FIDO （ “FastIDetity Olie ” ） 的系统中，成功的生物识别匹配会授予对存储在设备上的私钥的访问权限，该私钥又用于响应来自依赖方的 PKI （ 公钥基础设施 ） 挑战，例如其应用程序在设备上运行的银行或零售商。私钥从未真正离开移动设备。• 以服务器为中心的体系结构。在此设置中 ， 生物识别模板被注册并集中存储在安全服务器中。在身份验证尝试时执行匹配和活性检测集中 ， 而不是在每个单独的设备上。9每次用户执行验证尝试时, 所捕获的样本被发送到中央匹配引擎, 在中央匹配引擎处对其进行处理并与中央存储的登记模板进行匹配。每种方法都有其优势。尽管影响设备和云之间选择的问题或因素比表中列出的要多 ， 但辩论没有明确的赢家 （ 表 A ） 。10表 A:设备与基于云的身份管理的优势ADVANTAGE RATIONAL问题设备云大规模数据泄露 一次违反中央存储位置会暴露更多位置周界防御 中央存储意味着更小、更易于保护的外围丢失或被盗的设备