数字身份漫谈:由《一部手机失窃引发的惊心动魄的战争》想到
冯老师移动支付网2020/10/16 18:09:44

这几天一篇名为《一部手机失窃引发的惊心动魄的战争》的文章刷爆了朋友圈、社交媒体和各大网站,里面描述的可怕场景恐怕会让很多人夜不能寐。其实这篇文章源于一个月前的一篇旧文:《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》,相信安全圈的同学们都已经阅读过,笔者也参与过某个技术论坛对于此事件细节的深入讨论,并且也了解到了更多的幕后信息。

看到这篇文章引起的巨大反响,我们不禁要问:为什么手机失窃会引来这么多后续的惊心动魄?为什么一个安全圈里的技术分析文章会得到社会的广泛关注?其实原因很简单:这起事件和每个人息息相关,或者更确切的说,跟每个人的钱包、隐私息息相关。

这件事情暴露的问题是方方面面的,对于事件本身,各路专家已经分析的很详尽了,笔者也不准备狗尾续貂;笔者试着从身份核验和认证业务设计的角度,分析一下相关的安全技术,希望对小伙伴们有所帮助。

事件的简单脉络

首先我们来梳理一下事情的简单脉络,为了避免争议和侵犯名誉权,本文以失主代表事件的当事人,以黑产分子代表失主对抗的那群人。从原文中我们可以粗略判断,整个事件分为:

  • 失主丧失对个人身份控制权
  • 失主与黑产分子争夺个人身份控制权
  • 善后事宜处理

这三个阶段,以下对这三个阶段逐一进行简单分析。

失主丧失对个人身份控制权阶段

首先,我们要知道,在现实生活中,我们的身体以及相关的物理要素(比如银行卡和二代身份证)代表了我们的身份,而在数字世界中(或者说网络中),代表我们并履行各种职责的主体是我们的数字身份(Digital Identity),换句话说在数字世界中,并不是生物体的我在做各种事情,而是我们的“数字身份”在做各种事情。但是,我们在数字世界的数字身份并不像身体发肤一样天然属于我们自己,因此为了合法的使用它们,我们需要用一种方式证明我们确实拥有这个数字身份。显然,如果黑产分子拿到了你用来在数字世界中证明自己合法持有某个数字身份的要素,你就不再是你了。

在整个事件中,黑产分子通过盗窃失主的手机为起点,劫持了失主在运营商的数字身份控制权,并以该身份为基础陆续接管了失主的其他数字身份,包括各种互联网应用和个人生活服务。这也是黑产分子以失主的名义做了很多可能会导致失主财产和名誉损失的事情的基础。

失主与黑产分子争夺个人身份控制权

作为安全领域的老兵,失主在发现自己失去了在运营商处数字身份(以下简称为SIM身份)的控制权后,第一个想到的就是夺回自己的SIM身份控制权,因为他很清楚,自己在运营商处的数字身份是创建和管理很多其他网络服务数字身份的起点。

如果黑产分子继续持有SIM身份,既可以接管失主已经创建的各种数字身份(比如:移动支付账户、社保账户等),从而获取更多的个人信息更逼真的伪装失主;也可以创建新的、失主甚至无法知晓的数字身份,造成无法预知的风险。

事件中失主花了大量的时间和精力与黑产分子斗智斗勇,争夺自己的SIM身份控制权,虽然付出了一些代价,不过最后终于成功了。注意,失主拿到了SIM身份的控制权后,不代表他重新控制了他所有的数字身份,所以失主还需要继续跟黑产分子斗争,以夺回所有的数字身份控制权。

很遗憾,我们其实很难知晓这个工作是否完全完成,很可能黑产分子依旧掌握在某个低频应用程序或服务中创建的数字身份,等待未来的某一天爆发。

善后事宜处理

所谓的善后事宜处理,其实就是纠正或挽回黑产分子持有失主数字身份期间,以失主的名义做的一些事情,比如:消费或申请互联网贷款等等。受益于国内完备的互联网法律法规,以及网络的力量,目前看失主的善后处理工作还算顺利,这里也不做分析了。

数字身份的产生

我们前面提到,在整个事件中,失主最主要的精力都在与黑产分子争夺数字身份控制权上,包括而不仅限于SIM身份。那可能有人就要问了,失主什么时候有了这么多的数字身份呢?这就要提到数字身份生命周期中最为关键的两个环节:身份核验和身份认证了。

身份核验,或者也可以理解为“注册”,是我们在网络空间中创建数字身份的过程。

当前的情况是,用户在任何一个提供网络服务的服务提供商环境中,初次注册或登记的时候都会创建一个数字身份,也就是说我们每注册一个互联网应用账户就会创建一个数字身份,每申请一张银行卡也会创建一个数字身份。

可以想象我们有多少数字身份存在,统计数据表明(N年前的数据了,有兴趣可以去网上搜索一下,这里就不给出来源了),普通人每人起码有50个以上的数字身份,这里面有很多数字身份甚至用户自己已经彻底忘记了。

很显然,数字身份代表网络中的我们,在创建之前对发起创建数字身份请求的用户的身份做核验是常态,比如在金融领域,用户需要到银行营业厅办理开卡手续,网上开通银行II类户的时候需要提供姓名和身份证号码信息,并进行人脸比对等等。

不过,在安全要求比较低一些的行业领域,很多身份核验过程其实就是进行了一次短信验证码核验,也就是说用户出示正确的短信验证码给服务提供商,实现了对某个手机号码持有者身份的核验后,就可以完成数字身份的创建。

另外,短信验证码在很多场景下,不仅可以用来创建数字身份,还可以用来找回对某个数字身份的控制权。在本次事件中,失主正是由于失去了对SIM身份的控制(手机丢失导致SIM卡也一起丢失),进而给黑产分子敞开了数字身份的大门。

那么什么是身份认证呢?身份认证就是我们一般理解的“登录”,是用来证明某个人拥有某个数字身份控制权的过程。

在金融领域,银行卡密码通常用来证明用户的控制权,而在其他领域,SIM身份(表现形式为短信验证码)被大量用于证明用户对某个身份的控制权,可以想象,失主失去了SIM身份的控制权带来的安全风险有多么巨大,可以说除了金融领域这类强监管行业(有严格的监管要求,因此SIM身份能做的事情很有限)以及一些风控水平非常高的互联网服务厂商,黑产分子几乎可以为所欲为。

从行业中的实际应用来看,相当多的应用商非常依赖SIM身份,这也就不难理解,为什么SIM身份控制权丢失的后果非常严重了。

什么是多因子认证

我们前面分析了数字身份核验和认证的安全风险,那么是否有好的数字身份管理范式可以有效防范此类风险呢?当然是有的,这就是所谓的多因子认证(MFA:Multi-Factor Authentication)。

顾名思义,MFA多因子认证不会只使用一种因子来进行用户身份的认证或核验,而是要使用多种因子的组合。这里说的多因子,并不是仅仅指的两种不同的核验方式,而是同时也包括多种不同类型的核验方式,并且这些不同的核验方式攻击者很难在一次攻击中同时掌握。

举个例子来说,密码和短信验证码是两种因子吗?答案是分情况,在有些场合是,有些场合不是。比如在手机上,密码和短信验证码就不能算是两种认证因子,这是因为攻击者如果给失主的手机安装了木马,就可以很轻松的先记录用户输入的密码,再获取手机收到的短信验证码,这就失去了多因子的意义了。不过在PC领域,却是不折不扣的多因子,因为攻击者获得了PC机的控制权只能窃取用户输入的密码,而获得了用户手机的控制权,只能截获手机接收到的短信验证码,无法同时掌握两种认证因子,进而起到了安全保护的作用。

认证因子从分类上来说,一般可以分为3类:

  • 你知道什么
  • 你有什么
  • 你是什么

“你知道什么”很容易理解,例如密码和安全问题,因为这些信息只有你知道(理论上),攻击者不知道,所以你可以用来证明自己的身份;“你有什么”指你持有但攻击者没有的东西,比如SIM卡(表现形式为短信验证码)以及硬件OTP令牌就属于这类设备;“你是什么”听起来有点抽象,其实简单来说就是生物特征,比如指纹或者人脸。

从实现方式来说,这3种认证因子都可以与数字证书、特别是利用硬件安全特性进行保护的数字证书进行结合,进而提供更高安全等级的保护。为了保护大家的利益,很多场景下监管部门会强制要求必须使用数字证书。作为国内最早开始利用手机设备上的硬件安全能力解决数字身份核验和认证的公司之一,一砂有完备的产品序列和丰富的经验可以帮助客户解决相关场景的安全问题。

认证因子有安全等级

每个人在生活中都会碰到很多不同类型的认证因子,传统点的有密码和短信验证码、这几年流行的有指纹和人脸、高安全要求的有U盾、OTP等硬件设备、强监管要求的有线下面签。

是的,你没看错,到银行营业厅同柜员美女面对面办理业务也是一种认证因子,而且到目前为止,这应该是正常情况下安全等级最高的一种认证因子了,再高的可能就是到派出所开“你是你”的证明了。

虽然我们用到了非常多的认证因子,但是很少有人会注意到,这些因子是有安全等级的,这是什么意思呢?身份核验时使用的因子安全等级要高于或等于身份认证,低安全等级的认证因子不能用来找回高安全等级的认证因子,这一点尤为重要。

举例来说:如果仅仅使用短信验证码来找回密码,这种设计思想很可能被黑产抓住漏洞,这是因为短信验证码是可以被攻击的,窃取手机、给手机安装木马、基站劫持等方式,都可以盗取用户的短信。而等着被短信验证码找回的密码,如果是经过合理设计和管理的,其安全等级比短信要高。即便是防攻击能力比较弱的6位数字密码,银行系统已经使用多年,安全性有目共睹。所以在密码找回的场景中,比较理想的设计是加一种生物认证因子,比如人脸识别。

密码其实挺安全

很多人很多宣传都在传达一个信息:密码不安全。其实只要有良好的安全设计和防护,密码其实挺安全,银行卡密码用了这么多年,而且多数情况下只有6位数字,但是不妨碍密码到现在为止依然是银行体系下仅次于柜台面签的认证因子。

对密码安全最大的威胁是随意的管理密码方式以及与之相关的拖库和撞库攻击,针对这个问题行业内也有很多产品可以帮助客户控制此类风险。

智能风控是补强

再强大的认证系统,如果没有对风险的防控,都会被攻击者攻破。最简单也是最有效的保护方法就是重试次数和冷却时间设置。

比如手机锁屏密码,连续输入5次错误的密码就会被强行禁止登录5分钟,连续输入错误次数越多冷却时间越长。或者如银行卡密码,虽然一般只有6位数字,但是连续5次(基于场景不同,该次数限制会有差别,一般不会超过10次)输入错误就锁卡,然后只能去柜台解锁。这种风控策略虽然很简单,但是却非常有效。

当然,作为一个成熟的认证产品,风控系统的策略是要比前面提到的策略要复杂得多,并引入人工智能。好的风控系统不仅仅能识别单一风险,而且还要智能判断关联风险和系统性风险,并且与认证用户身份的方式紧密相关。

从失主的原文中就可以看到,那些具备较强智能风控能力的公司,很快就识别到了失主身份被盗用的风险,通过禁止交易以及资金追回的方式及时帮助失主挽回了经济损失。

但是风控系统存在或智能、高效与否,其实普通消费者是无法察觉的。这里有一个简单的方法可供参考,比如某个互联网服务,我们一直用自己的手机设备登录和使用,有一天我们突然更换了一个客户端设备,可能是由于使用了朋友或家人的手机,或者购买了一部新手机,如果该服务认证你的身份的方式有变化,比如额外增加了一种新的认证因子(人脸识别、身份信息核验等),那么恭喜你,你使用的可能是一个对身份安全风险保护有意识且负责任的企业或组织提供的智能风控服务。

写在最后:我的隐私我做主

层出不穷的安全事件,背后是消费者、应用服务商与黑产的博弈。为了享受服务,消费者把隐私部分让渡给了应用服务商;应用服务商为了其商业目的,也千方百计的搜集更多的隐私信息。当隐私信息越来越多、越来越集中的汇集到应用巨头的时候,风险也在增加。

数字化促进社会效率,而数据归属其所有者。如何在保证信息充分流通的前提下,能够保证数据安全,保证数据所有者的隐私及权益,是我们需要思考的问题。

作者系北京一砂信息技术有限公司联合创始人、CTO,IFAA联盟预研分委会专家委员。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消