提要：隨著科技的進步，黑客的攻擊手段也層出不窮，導致金融行業存在的風險越來越多。馮繼強認為，這些風險歸根結底其實還是身份認證的問題。若是能夠確保只有用戶本人或合法可信的人執行相關操作，移動金融支付的安全性問題也就迎刃而解。

4月13日，由中國金融集中采購網、金融科技創新學院聯合主辦的“2018中國金融科技創新發展論壇”在廣州成功舉辦。論壇邀請了近百位來自金融行業監管機構、銀行、保險、證券、互金企業的科技部、網絡金融部、風險管理部的部門負責人，就金融科技創新發展、實踐，銀行風險管理實踐、金融安全實踐等話題展開了熱烈討論。

　　錦佰安科技CEO馮繼強

國內領先的身份識別綜合解決方案提供商——蘇州錦佰安信息技術有限公司，也受邀參加了本次論壇活動。在演講中，公司CEO馮繼強先生指出，目前主流的身份認證方式存在極高的風險，致使金融行業的安全事件頻發。隨著個人信息的重要性越來越高，黑客的攻擊手段也層出不窮。因為每個人操作手機的行為具有明顯差異性，依此即可精準識別用戶，從而保證只有用戶本人或合法可信的人才能執行相關操作。該觀點引起了與會人員的高度認同。

金融行業安全事件頻發

近年來，關于銀行卡被盜刷的事件不勝枚舉。不法分子一般是在黑市上購買海量用戶信息，然后將這些數據篩選過濾后實施撞庫攻擊，以獲取賬戶和密碼，最后利用手機云端漏洞劫持短信驗證碼，完成轉賬，整個過程完全繞過受害人。這無疑使得現有的身份認證方式形同虛設。

　　金融行業風險評估

此外，不法分子還會通過山寨支付網銀類APP、釣魚網站、暴力破解、木馬病毒等其他手段竊取錢財，讓用戶防不勝防。

而對金融機構來說，黑客入侵、群控操作等風險同樣居高不下，令機構本身及其用戶蒙受巨大的損失。

經調查，絕大多數安全事件都與信息泄漏有關，信息安全的重要性由此可見一斑。

風險的本質：身份認證問題

隨著科技的進步，黑客的攻擊手段也層出不窮，導致金融行業存在的風險越來越多。馮繼強認為，這些風險歸根結底其實還是身份認證的問題。若是能夠確保只有用戶本人或合法可信的人執行相關操作，移動金融支付的安全性問題也就迎刃而解。

靜態密碼、U盾等硬件設備、短信驗證碼等傳統認證方式，根本談不上是身份認證，因為它們只能保證賬號與密碼的匹配度，卻無法區別“人”的唯一性，在安全性上也不盡如人意。

近些年流行起來的生物識別一定程度上提升了便捷性，但在本質上并未提升安全性。因為生物識別看似能利用個人生物特征來區別“人”的唯一性，但指紋的獲取成本極低，而人臉和聲音特征也都很容易被捕捉、復制。一旦被破解，我們也很難改變自己的生物特征。

那么，究竟有沒有真正安全、便捷的身份認證手段呢？

無感知身份認證是終極解決方案

馮繼強指出，用戶在操作手機的過程中，其行為特性都可以被手機傳感器收集到，經分析，每個人的操作行為都具有明顯的差異性，這種差異性即可作為精準識別用戶身份的依據。錦佰安科技自主研發的國內首個基于行為進行無感知身份識別的產品——SecID身份認證系統，即是于這一原理。

SecID通過手機中的多個傳感器，多維度、多規則地收集用戶日常登錄的操作行為和使用習慣，然后利用卷積神經網絡、循環神經網絡、貝葉斯網絡等方法，對這些特征進行持續深度學習，為每個用戶單獨建立識別模型，并與用戶本人進行相似度匹配，即可對用戶身份進行身份確認。

通過這些核心技術，一方面，SecID能有效分辨當前操作者是人還是機器，避免了群控操作的風險，便于金融機構清洗機器與惡意用戶；

　　只有行為特征匹配度達到要求時，SecID才允許用戶進行業務操作

另一方面，SecID還能準確地分辨操作人是否為用戶本人。也就是說，當用戶在移動支付應用上執行諸如注冊、登錄、轉賬等敏感操作時，SecID能根據用戶的操作行為來判斷其身份，只有當匹配度達到要求時才予以通過，確保只有用戶本人才能進行業務操作，即使密碼已經泄漏，也能保證賬號的安全性。

值得一提的是，SecID對行為特征的整個采集、建模、驗證過程，都是在用戶無感知狀態下完成的。所以，該產品讓身份認證真正變得無縫、自然、安全。

馮繼強總結道：“在人工智能時代，金融行業存在的風險因子將會只增不減，在現有身份認證技術無法保證安全性的情況下，基于AI行為識別的‘無感知’是未來身份認證的趨勢。錦佰安科技愿與更多金融機構加強合作，為金融行業的身份認證安全保駕護航。”