欧洲支付服务指令PSD2和强大的客户认证:所有元素都相同吗?
洲支付服务指令2(PSD2)包含对某些在线交易的额外安全功能的要求。这些安全要求称为强客户认证(SCA),认证过程的最终结果是生成一次性认证码,通常称为一次性密码(OTP)。虽然SCA还有其他功能和要求,但实际上PSD2已经强制要求双因子(2FA)或多因素身份验证(MFA),这是一种安全技术,如今已被许多金融机构很好地建立和使用。
2018年1月推出的欧洲支付服务指令2(PSD2)包含对某些在线交易的额外安全功能的要求。这些安全要求称为强客户认证(SCA)于2019年9月14日生效,并将强认证定义为以下三个要素中的两个或多个的组合:
知识 – 只有用户知道的东西
占有 – 只有用户拥有的东西
内在性 – 用户的东西。
认证过程的最终结果是生成一次性认证码,通常称为一次性密码(OTP)。虽然SCA还有其他功能和要求,但实际上PSD2已经强制要求双因子(2FA)或多因素身份验证(MFA),这是一种安全技术,如今已被许多金融机构很好地建立和使用。
2FA模型在历史上一直由前两个因素,知识和占有主导。这是因为知识本身就是如此弱的身份验证形式,例如PIN和密码,需要第二个因素。对于采用2FA的组织而言,迄今为止最受青睐的占有因素已采用多种形式,其中一些最简单的TAN列表,特别在德国受到青睐,简单的基于硬件的一次性密码(OTP)生成器。
TAN(交易验证号码)列表只是一张纸,上面印有50个OTP。当使用每个OTP时,例如,用于授权因特网银行交易,它随后变得无效以供进一步使用。问题是未使用的代码没有有意义的到期时间,因此成为网络钓鱼攻击的目标。另一方面,OTP生成器在生成的4位或6位代码上有到期时间,这意味着欺诈者更难以获取和使用代码。
然而,这两种技术都被引入了Man-in-the-Middle和Man-in-the-Browser攻击而变得过时。由于事务详细信息是动态的,因此仅包含静态OTP的TAN列表会立即过时。简单的OTP生成器也是如此,但制造商通过引入签名令牌生成器解决了这一新威胁,允许手动输入有限的交易信息。然而,使用这些设备进行手动数据输入容易出错,令人沮丧,根本不是用户友好的,并且还有可能被浏览器中的人类攻击所破坏。
带外(OOB)身份验证(包括事务详细信息验证)被视为基于硬件的令牌生成器的经济高效且用户友好的替代方案。事实证明,OOB方法不仅流行且具有成本效益,而且对所有攻击媒介都有效。然而,欺诈者设计了一种针对这种形式的2FA的新战略。一种这样的攻击被称为SIM交换欺诈,其需要说服MNO欺诈者实际上是合法用户并且在欺诈者的控制下将电话号码移植到SIM。
SIM交换检测服务立即发展,但这些服务专为检测而非预防而设计。银行仍需要确定检测到的SIM Swap是否是欺诈性的,或者是真正的用户是否是合法的号码端口。
今年2月,总部位于英国的Metro Bank透露,它已成为对所谓安全的基于电信的SS7网络协议进行攻击的受害者。SS7是全球移动电话连接的骨干网络,包括呼叫和文本,Metro Bank证实,黑客攻击涉及窃取SMS提供的用于网上银行交易授权的安全代码,即OTP。虽然此攻击针对SMS消息,但对于通过电话发送的代码同样有效。
防止这些复杂的网络攻击的基本前提一直是“拥有”,它只在有限的程度上宣称客户的身份。知识(只有你知道的东西)才是拥有。如果欺诈者知道你所知道的,他们就可以尽可能地使用这些知识。个人设备是关于占有,这可以通过诸如SS7漏洞,SIM交换和无条件呼叫转发等攻击来利用。占有不再足以断言个人的身份。
SCA中定义的第三个元素Inherence是证明身份而不是占有的唯一元素。为什么这是至关重要的是因为我们必须假设任何渠道都可能被破坏而秘密信息被盗。因此,我们需要在移交OTP之前证明身份而不是占有,其次,我们需要使用欺诈者无法使用的东西来验证用户身份。
Inherence是多因素身份验证的关键,特别是在带外解决方案中,遵守SCA。短信显然不支持固有,但OOB电话有。如果我们查看SIM Swap和SS7黑客攻击,两者都会让欺诈者产生对自己电话的呼叫,或者能够拦截呼叫以获取OTP。
通过在发出OTP之前应用该呼叫的固有性,即语音生物识别认证,无论谁在该呼叫结束时,拥有呼叫是不够的。只有合法的帐户持有人才能成功进行身份验证,然后才会发布OTP。这是身份的真实证明,只有身份证明否定了SCA定义中所需的路由和安全环境的漏洞。它无需依赖安全模型来利用从未设计用于支持强用户身份验证的基础架构。
语音正在成为未来的用户界面,用于向智能个人助理,家用电器甚至汽车等各种设备发出命令和指令。语音不仅用于命令,还用于身份,两者结合使用,可以提供无缝的用户界面和与机器和AI交互所需的强身份验证。
语音也是多因素身份验证和SCA中的固有元素,可以克服网络和基础架构漏洞,并允许金融机构部署OOB解决方案,这些解决方案不仅可以满足SCA要求,还可以保护其帐户持有者免受欺诈和经济损失。
来源:https://www.helpnetsecurity.com/2019/05/06/strong-customer-authentication/
原文链接:http://toutiao.secjia.com/article/page?topid=111497
相关文章
- 1条评论
- 绿邪辞取2022-06-13 01:28:50
- 攻击来利用。占有不再足以断言个人的身份。SCA中定义的第三个元素Inherence是证明身份而不是占有的唯一元素。为什么这是至关重要的是因为我们必须假设任何渠道都可能被破坏而秘密信息被盗。因此,我们需要在移交OTP之前证明身份而不是占有,其次,我们需要使用欺诈者无法使用的东西来验证用户身份