來自: 支付產(chǎn)業(yè)網(wǎng)       

       在很多人的眼里，蘋果手機(jī)的安全性是要高于一般的安卓手機(jī)的。

　　但廣西法院近日公開的一份刑事判決書，不得不讓人重新審視這個(gè)安全性。

　　判決書顯示，2019年6月8日19時(shí)許，被告人黃某到柳州市一家二手手機(jī)店，欲在此店選購手機(jī)。黃某挑選手機(jī)時(shí)，看到被害人陳某已出售在此店的一部蘋果牌手機(jī)，后發(fā)現(xiàn)陳某的微信、支付寶賬戶并未退出，遂購買了該手機(jī)。

　　次日2時(shí)至9時(shí)期間，黃某在柳州市魚峰區(qū)柳石路和九頭山路路口處一樹下，利用該手機(jī)內(nèi)陳某的照片，制作了一張人臉識(shí)別動(dòng)態(tài)圖在支付認(rèn)證時(shí)使用，以此方式分別從陳某的微信賬戶、支付寶賬戶內(nèi)轉(zhuǎn)款人民幣9100元、7500元至其個(gè)人賬戶。

　　隨后，黃某將該手機(jī)退還到原手機(jī)店，并將贓款揮霍。

　　值得一提的是，1996年出生于廣西壯族自治區(qū)柳州市的黃某，初中文化，無職業(yè)。

　　支付產(chǎn)業(yè)網(wǎng)看到，在公、檢、法嚴(yán)謹(jǐn)?shù)霓k案流程下，判決書中并未出現(xiàn)第三人相助，黃某僅憑一己之力就可以用受害人的照片生成了動(dòng)態(tài)圖，順利通過了微信支付寶的支付認(rèn)證。

　　用戶在微信支付和支付寶中的資金受到損失，無疑將會(huì)影響兩者在用戶心中安全性的評(píng)價(jià)。雖然微信支付和支付寶是調(diào)用了蘋果手機(jī)的人臉識(shí)別接口，把身份認(rèn)證交由蘋果來確認(rèn)，但絲毫不影響用戶在支付機(jī)構(gòu)的賬戶資金受損的事實(shí)。

　　這同時(shí)也說明了刷臉支付存在著嚴(yán)峻的安全問題，即使如市值過萬億美元的蘋果公司也未能徹底防住動(dòng)態(tài)圖的欺詐。

　　就在去年夏天，央行科技司司長李偉在一次會(huì)上表示，人臉是非常敏感的個(gè)人信息，一旦泄露或被盜取，會(huì)帶來非常大的影響?，F(xiàn)在有的技術(shù)在三公里之外可以識(shí)別人臉，如果人臉支付時(shí)，一刷臉錢就沒了，一個(gè)場景不能表達(dá)客戶的主觀意愿是可怕的。所以有技術(shù)也不能濫用，有技術(shù)也不能任性。

　　上個(gè)月，有分析人士撰文對(duì)刷臉支付的幾點(diǎn)擔(dān)憂。由于人臉的暴露性、被動(dòng)性(不能夠主動(dòng)發(fā)起交易)和非接觸性(不需要和設(shè)備直接接觸)，怎么界定是顧客主動(dòng)支付的，還是被動(dòng)的。

　　過去，刷卡、掃碼普遍有輸入密碼的過程，指紋至少也有去主動(dòng)驗(yàn)證指紋的動(dòng)作，這些行為都是客戶交易意愿的詮釋。

　　而刷臉支付則使這些主動(dòng)行為無從放置，后果就是客戶有可能在不具有交易意愿的情況下“無感”支付而蒙受損失。

      新昕科技的技術(shù)負(fù)責(zé)人認(rèn)為：刷臉支付并不安全，移動(dòng)互聯(lián)網(wǎng)時(shí)代不僅個(gè)人圖片、甚至動(dòng)態(tài)的視頻在朋友圈分享， 拿人臉作為答案去驗(yàn)證的機(jī)制存在巨大問題，  指紋識(shí)別及短信相對(duì)要安全，  指紋被分享的可能性比較小， 而短信驗(yàn)證具有私密性，所以指紋識(shí)別和短信驗(yàn)證還是作為支付、用戶注冊(cè)環(huán)節(jié)中的重要手段。 

      但短信驗(yàn)證本身也存在被盜刷的風(fēng)險(xiǎn) ， 所以出現(xiàn)了各種煩人的圖片驗(yàn)證碼及滑動(dòng)、點(diǎn)按之類的多余操作。  新昕科技則研發(fā)了獨(dú)特的全無感短信防火墻，在全無感的前提下， 確保短信驗(yàn)證碼的安全 。 

  新昕科技 www.newxtc.com ，創(chuàng)始團(tuán)隊(duì)來自百度旗下去哪兒、易寶支付、聯(lián)動(dòng)優(yōu)勢、高陽捷訊(19pay)等支付及航旅知名企業(yè)，歷時(shí)3年時(shí)間，在價(jià)值百萬的風(fēng)控引擎基礎(chǔ)上 ，訓(xùn)練出“防短信轟炸”智能模型，徹底解決“安全”與“用戶體驗(yàn)”的矛盾，產(chǎn)品經(jīng)理只需專注用戶體驗(yàn)，無需為安全讓步。

  1）無感：去類12306、對(duì)缺口拼圖、拖動(dòng)等所謂人機(jī)驗(yàn)證有感方式。 

化繁為簡，簡單到只需輸入手機(jī)號(hào)，還產(chǎn)品本來面目

  2）保障：攻防對(duì)抗大數(shù)據(jù)訓(xùn)練的 AI模型，去前端交互驗(yàn)證方式，后端防御確保短信安全。

     比如，同一個(gè)IP ，即使有1萬個(gè)正常用戶同時(shí)共同使用，可以確保放行，但常規(guī)的防控大多數(shù)被誤攔。

      反之，攻擊者控制1萬臺(tái)主機(jī)，1萬個(gè)不同IP、手機(jī)，也保證攔截，但常規(guī)的防控對(duì)此無能為力。

    如何做到的， 基于三層AI防御體系，

     “報(bào)文對(duì)抗層” 在最外層應(yīng)用加解密及混淆技術(shù)，對(duì)抗普通的攻擊，

     “蜂窩防護(hù)層” 由時(shí)空主體組成蜂窩，確保被攻擊后“蜂窩”之間互不影響，縮小受影響的范圍，

     “安全氣囊”   在確保老用戶不受影響下， 根據(jù)攻擊規(guī)模自動(dòng)啟停并進(jìn)行動(dòng)態(tài)控制。

  3）高效：價(jià)值百萬的風(fēng)控引擎濃縮的10M “短信防火墻”安裝包，本地部署運(yùn)行，毫秒級(jí)響應(yīng)。

避免“云模式”的網(wǎng)絡(luò)延時(shí)問題，導(dǎo)致滑動(dòng)條出不來等情況

關(guān)鍵技術(shù)說明：

    “懸浮式指標(biāo)引擎”：加載AI模型，懸浮于磁盤超高速運(yùn)行，隨輸入的業(yè)務(wù)數(shù)據(jù)生成統(tǒng)計(jì)指標(biāo)，提供給決策引擎做進(jìn)一步分析處理，

 “決策引擎”：加載“短信防轟炸”AI模型和指標(biāo)后，和輸入的業(yè)務(wù)數(shù)據(jù)流做邏輯判斷后，輸出風(fēng)險(xiǎn)結(jié)果，響應(yīng)速度達(dá)到恐怖的1毫秒。

總結(jié)：隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，我們每日都離不開與互聯(lián)網(wǎng)的交互。短信驗(yàn)證碼作為互聯(lián)網(wǎng)交互中的重要環(huán)節(jié)，保衛(wèi)著網(wǎng)站的安全以及我們的信息安全。用戶體驗(yàn)差、毫無安全性可言的圖片驗(yàn)證碼將退出歷史舞臺(tái)，未來將會(huì)是安全與體驗(yàn)雙重保障的驗(yàn)證碼的時(shí)代。