许多预言家明显隐私一个白日梦。山在社交网络上的个人信息和安全意识的缺乏,许多用户,网络罪犯有超过雪球的机会抓住任何人的身份。
然而,有新想法的抵消身份盗窃将考虑一个人的物理属性添加另一层安全。使用指纹的想法读者登录智能手机并不新鲜,但最新的皱纹是合并,手指的压力类型的电话。
超过4100万美国人身份被盗的,数以百万计的个人身份信息(PII)放置在通过数据泄露风险,根据Bankrate.com上个月进行的1000位成人的调查。
Keir Breitenfeld, Experian高级商业顾问说,继续使用“共享秘密”或静态数据点,如社会安全号码、用户名和密码,验证身份和验证消费者为用户创建一个明确的问题和公司都——欺诈行为的延续。PII”这些非常宝贵的顶级网络罪犯的目标。解决这个问题是动态数据的使用,要么就其本身而言,或结合静态因素,”他说。
目前,190万条记录包含PII每天都妥协,让数以百万计的人容易受到欺诈。此外,根据标枪2017年身份欺诈研究诈骗影响了1540万名受害者,于2016年在美国的发病率较2015年增加了16%。2020欧洲杯夺冠热门
Breitenfeld说许多公司使用某种形式的身份验证标识元素验证和确认。这种传统的方法来验证个人使用标识元素(例如社会安全号码、出生日期、名称、地址)由申请人提供,然后比较这些数据点来自受信任来源的数据,如信用机构。“问题是,大多数这些数据已经被偷了,做这种形式的身份验证不可靠的,”他说。
Ryan Zlockie委托Datacard全球副总裁身份验证,指出连续认证的一个例子是压力的量在打字时,滚动和滑动,可以匹配用户的典型行为。另一个身份验证模式可能是一个会话所花费的时间或事务。例如,会话与行动的时机完成可以表明是否答案很快就被剪切和粘贴或手工输入。或输入的节奏可以用作行为验证工具,收集准确计时信息描述每一个键被按下和释放时一个人打字在电脑键盘。这个节奏可以连续拍摄,不仅当用户第一次登录到一个系统或服务。
通过分层在附加的动态数据,为网络罪犯没有货币价值,而不是单纯依赖静态信息,公司有可能阻止欺诈,Breitenfeld补充道。一些新的动态因素包括:
- 生物识别技术——身份验证因素如指纹和视网膜扫描可用于安全验证消费者的身份,骗子,因为这些因素更难以窃取或复制。
- IP地址——检测如果一个帐户访问从一个新的/未识别的IP地址可以帮助阻止欺诈通过挑战用户提供额外的身份验证因素。此外,用户可以得到通知如果有人试图访问他们的账户从一个新的设备。
- 位置——位置是另一种方式来验证用户,几家公司已经在使用这个作为一个身份验证因素购买。比如,如果你住在肯塔基州,但是一个项目在中国购买使用您的凭据,事务将被完全阻塞或标记到合适的人。
- Selfies面部识别软件可以用来验证某人做交易在他或她的移动设备。
- 速度检查——检查个人的历史购物模式和匹配,对他或她目前的购买记录违规行为。
- 社交媒体简介——分析一个人的社交媒体和网络账户帮助确定是否真实。例如,Facebook的个人资料已建立多年的人有大量的朋友和一致的信息比人更可能是真实的一个概要文件,缺乏广度和深度,这意味着一个虚假或新创建的身份。
- 授权用户的活动——监视身份被添加为“授权用户”账户通常是预测欺诈,专门收购和建立合成身份。如果相同的“授权用户”被添加为一个新的授权用户占各种不同的人,很可能一个虚假的身份。
Zlockie添加检查另一个因素是黑客攻击模式匹配,它可以显示一个帐户收购尝试通过监测用户是否通过过程和匹配的速度冲黑客试图与类似的攻击。他说移动推和事务签署并不是一个新身份验证策略,但它比过时的方法依赖于安全密码或静态信用卡CVV码。它不仅仅是一种身份验证应用程序,因为它可以定位和应用各种工作流自动化用例。
除了面部生物识别技术,也有声音和虹膜设置可以根据其固有的物理验证个体特征。“生物认证已超出指纹理由感谢生物特征是同一个厂家,提供一个高水平的防止欺诈。声音和面部生物识别技术是灵活的,他们可以不断地验证用户在一个会话没有提醒他们,他们被监视,”Zlockie说。
他把物理方面有点进一步引用使用心电图(ECG)、心跳或BioStamp可以把用户的心跳变成一个惟一的区别,验证他或她的数字身份。任何一个系统或服务一个人使用可以获得实时访问他们的生命体征,以验证用户在整个会话或事务。
Zlockie表示认知验证仍处于研究阶段,但它收集多个参数创建一个惟一的用户配置文件。当一个人看到一个新奇的刺激,就像一个熟悉的照片或歌曲,它衡量他或她响应使用各种技术,如脑电图、心电图,血压体积,皮肤电反应,眼睛追踪器和瞳孔测量法。认知验证会验证用户通过匹配响应预录的指标。
接下来是什么?
展望更远的未来,真正贬值数据行业需要考虑更全面的身份验证方法——中心的身份,Breitenfeld说。这集中信息动态因素将结合PII创建一个集中的“消费者的身份。“公司将请求身份验证的特定身份,而不是请求,最终共享和存储PII消费者。“这消除了负担从PII公司收集和负责消费者事务是不必要的,不得不被入侵的潜在风险和处理的后果,”他说。
不要信用卡公司已经块不规则的购买呢?
Breitenfeld承认是这样,但是他支持标识元素的一致性是用来打开一个帐户。“在益百利,我们分析超过300万身份交易(不完全金融)一天,随着时间的推移,我们可以开始看看元素,如名字,地址,ssn和出生日期一致地使用与否,”他说。“例如,如果我们看到一个特定的人的信息是在一个相对正常的使用速度和一致性,我们可以验证他们的身份,这是一个低风险的欺诈活动。然而,如果我们开始看到那个人的名字和五个不同的地址和SSNs,或者我们看到高速度的任何一个元素,这是一个不好的预兆。总的来说,我们在寻找身份的一致的使用;解构,元素使我们看到如果他们被用于实施欺诈。”
益百利也使用设备的风险评估,结合特定的设备属性、习惯和相关标识元素,来验证身份的人购买或登录一个账户。例如,地理位置(设备属性)有助于确保人进行交易(购买或登录)的预期和/或定期的位置。
信息的另一个例子可能是一个身份的一部分的属性是中心操作系统。如果设备的操作系统的语言不匹配预期的特定身份是什么?如果一个独特的设备与不同的位置和语言有关,除了不同的个人身份信息,有一个明确的问题,他说。
“所以,这一信息,结合日常习惯,创建一个基线的人们通常使用他们的设备,然后比较这些数据,以确定偏差。从屏幕的分辨率的版本的操作系统是设备属性,可以帮助识别欺诈如果使用一个帐户,”Breitenfeld指出。
多因素身份验证是一种常见的方法验证,使用升压验证治疗。这些包括知识验证问题(如安全问题),一次性密码和文件验证selfies等电子标签批准或申请表填满证明用户授权进行交易。
尽管这种方法已经使用多年,传统的多因素身份验证并不像一些人所认为的安全,Breitenfeld说。例如,当一个代码发送短信,没有办法知道正确的用户看到的文本。电话可能是被盗或者犯罪可能是使用了一种叫做镜像接收短信发送到手机。这种身份验证方法可以改善通过添加更多的动态数据,如有问题,这个过程。
有问题的例子会工作,这样当有人填写申请一个产品或服务,他或她将他或她的驾照的照片,显示司机的名字,出生日期和地址。这个信息从应用程序中使用照片和刮形式,并验证了捕捉静态ID信息。登录后,如果有人有困难,无法回答安全问题,系统会要求用户有问题比较的照片已经在文件中。
益百利也使用欺诈模型,使验证过程运行一个用户通过各种已知欺诈模式和确定之前应该有额外的验证确认对方的身份。例如,模型考虑多种因素,网络罪犯普遍用于创建概要文件,帮助识别潜在的骗子。一个消费者的身份元素相比,该模型确定企业的风险。欺诈模型也可以调整,以满足公司的期望风险阈值;这经常发生在假期当消费者正在购买更多,和公司不希望被交易的障碍——尽管个人的购买行为是不正常的。
益百利也使用联盟共享的文件记录和验证和更新欺诈列表。他们收集的各种实体,包括银行、信用卡公司、电信运营商和其他贷款机构,用于支持组织参与停止普通诈骗罪犯。信息共享可能包括高速SSNs,地址为欺诈mail-drops或危险的地点,回收的电话号码,和重复的物理地址和电子邮件地址或连接到现有的欺诈相关记录。
一般来说,这些文件将管理或安置由一个可信的第三方,如信用报告机构。来自多个源的数据将被收集,如银行和信贷机构将允许在实时访问这些文件。
这个故事,“欺诈遇到了对手?”最初发表的方案 。