歐洲支付服務指令PSD2和強大的客戶認證:所有元素都相同嗎?
責編:gltian |2019-05-07 14:25:44洲支付服務指令2(PSD2)包含對某些在線交易的額外安全功能的要求。這些安全要求稱為強客戶認證(SCA),認證過程的最終結果是生成一次性認證碼,通常稱為一次性密碼(OTP)。雖然SCA還有其他功能和要求,但實際上PSD2已經強制要求雙因子(2FA)或多因素身份驗證(MFA),這是一種安全技術,如今已被許多金融機構很好地建立和使用。
2018年1月推出的歐洲支付服務指令2(PSD2)包含對某些在線交易的額外安全功能的要求。這些安全要求稱為強客戶認證(SCA)于2019年9月14日生效,并將強認證定義為以下三個要素中的兩個或多個的組合:
知識?– 只有用戶知道的東西
占有?– 只有用戶擁有的東西
內在性?– 用戶的東西。
認證過程的最終結果是生成一次性認證碼,通常稱為一次性密碼(OTP)。雖然SCA還有其他功能和要求,但實際上PSD2已經強制要求雙因子(2FA)或多因素身份驗證(MFA),這是一種安全技術,如今已被許多金融機構很好地建立和使用。
2FA模型在歷史上一直由前兩個因素,知識和占有主導。這是因為知識本身就是如此弱的身份驗證形式,例如PIN和密碼,需要第二個因素。對于采用2FA的組織而言,迄今為止最受青睞的占有因素已采用多種形式,其中一些最簡單的TAN列表,特別在德國受到青睞,簡單的基于硬件的一次性密碼(OTP)生成器。
TAN(交易驗證號碼)列表只是一張紙,上面印有50個OTP。當使用每個OTP時,例如,用于授權因特網銀行交易,它隨后變得無效以供進一步使用。問題是未使用的代碼沒有有意義的到期時間,因此成為網絡釣魚攻擊的目標。另一方面,OTP生成器在生成的4位或6位代碼上有到期時間,這意味著欺詐者更難以獲取和使用代碼。
然而,這兩種技術都被引入了Man-in-the-Middle和Man-in-the-Browser攻擊而變得過時。由于事務詳細信息是動態的,因此僅包含靜態OTP的TAN列表會立即過時。簡單的OTP生成器也是如此,但制造商通過引入簽名令牌生成器解決了這一新威脅,允許手動輸入有限的交易信息。然而,使用這些設備進行手動數據輸入容易出錯,令人沮喪,根本不是用戶友好的,并且還有可能被瀏覽器中的人類攻擊所破壞。
帶外(OOB)身份驗證(包括事務詳細信息驗證)被視為基于硬件的令牌生成器的經濟高效且用戶友好的替代方案。事實證明,OOB方法不僅流行且具有成本效益,而且對所有攻擊媒介都有效。然而,欺詐者設計了一種針對這種形式的2FA的新戰略。一種這樣的攻擊被稱為SIM交換欺詐,其需要說服MNO欺詐者實際上是合法用戶并且在欺詐者的控制下將電話號碼移植到SIM。
SIM交換檢測服務立即發展,但這些服務專為檢測而非預防而設計。銀行仍需要確定檢測到的SIM Swap是否是欺詐性的,或者是真正的用戶是否是合法的號碼端口。
今年2月,總部位于英國的Metro Bank透露,它已成為對所謂安全的基于電信的SS7網絡協議進行攻擊的受害者。SS7是全球移動電話連接的骨干網絡,包括呼叫和文本,Metro Bank證實,黑客攻擊涉及竊取SMS提供的用于網上銀行交易授權的安全代碼,即OTP。雖然此攻擊針對SMS消息,但對于通過電話發送的代碼同樣有效。
防止這些復雜的網絡攻擊的基本前提一直是“擁有”,它只在有限的程度上宣稱客戶的身份。知識(只有你知道的東西)才是擁有。如果欺詐者知道你所知道的,他們就可以盡可能地使用這些知識。個人設備是關于占有,這可以通過諸如SS7漏洞,SIM交換和無條件呼叫轉發等攻擊來利用。占有不再足以斷言個人的身份。
SCA中定義的第三個元素Inherence是證明身份而不是占有的唯一元素。為什么這是至關重要的是因為我們必須假設任何渠道都可能被破壞而秘密信息被盜。因此,我們需要在移交OTP之前證明身份而不是占有,其次,我們需要使用欺詐者無法使用的東西來驗證用戶身份。
Inherence是多因素身份驗證的關鍵,特別是在帶外解決方案中,遵守SCA。短信顯然不支持固有,但OOB電話有。如果我們查看SIM Swap和SS7黑客攻擊,兩者都會讓欺詐者產生對自己電話的呼叫,或者能夠攔截呼叫以獲取OTP。
通過在發出OTP之前應用該呼叫的固有性,即語音生物識別認證,無論誰在該呼叫結束時,擁有呼叫是不夠的。只有合法的帳戶持有人才能成功進行身份驗證,然后才會發布OTP。這是身份的真實證明,只有身份證明否定了SCA定義中所需的路由和安全環境的漏洞。它無需依賴安全模型來利用從未設計用于支持強用戶身份驗證的基礎架構。
語音正在成為未來的用戶界面,用于向智能個人助理,家用電器甚至汽車等各種設備發出命令和指令。語音不僅用于命令,還用于身份,兩者結合使用,可以提供無縫的用戶界面和與機器和AI交互所需的強身份驗證。
語音也是多因素身份驗證和SCA中的固有元素,可以克服網絡和基礎架構漏洞,并允許金融機構部署OOB解決方案,這些解決方案不僅可以滿足SCA要求,還可以保護其帳戶持有者免受欺詐和經濟損失。