頂象:《網上銀行系統信息安全通用規範》中驗證碼的重要性

（原標題：頂象：《網上銀行系統信息安全通用規範》中驗證碼的重要性）

2020年2月，中國人民銀行正式發布JR/T 0068-2020《網上銀行系統信息安全通用規範》。

《規範》涉及網上銀行系統的技術、管理和業務運作三個方面，將作為網上銀行系統安全建設、內部信息安全檢查和合規性審計的依據。

《規範》要求，金融機構通過交易行為分析、機器學習等技術不斷優化風險評估模型，結合生物探針、相關客戶行為分析等手段，建立並完善反欺詐規則，實時分析交易數據，根據風險高低產生報警信息，實現欺詐行為的偵測、識別、預警和記錄，提高欺詐交易攔截成功率，切實提升交易安全防護能力。對具備頻次異常、帳戶非法、批量交易、用戶習慣偏離、用戶特徵偏離、非法更正交易、報文重複、金額異常、掃庫或撞庫等特徵的請求，以及外部欺詐、身份 冒用、套現、洗錢等異常情況進行有效監控，對於風險較大、可疑程度較高的交易，應採取精準識別、實時攔截等措施。

《規範》明確，金融機構應該建立基於高風險交易特點和用戶行為特徵等的風險評估模型，並根據風險等級實施差異化風險防控。金融風險交易監控系統應能夠不斷更新反欺詐規則，及時從主管部門、公安機關、銀行卡清算組織等獲取黑名單等風險信息;風險交易監控系統應能夠實現與各金融機構、主管部門和公安機關等機構間的信息共享和信息交換。

《規範》中對網上銀行驗證碼提出了具體要求。要求網上銀行的驗證碼應隨機產生，採取圖片底紋幹擾、顏色變換、設置非連續性及旋轉圖片字體、變異字體顯示樣式、交互式認證等有效方式，防止驗證碼被自動識別。驗證碼應具有使用時間限制並僅能使用一次。

網上銀行的驗證碼有什麼作用

驗證碼的全名是「全自動區分計算機和人類的圖靈測試」，利用「人類可以用肉眼輕易識別圖片裡的文字信息，而機器不能」的原理來抵禦惡意登錄，通過識別、輸入這些交互，區分出機器人和真正的人類，防止惡意攻擊或者刷號情況的產生，在註冊、登錄、交易等各類場景中都發揮著巨大作用，並且在不斷進化中成為網絡中始終不可或缺的技術。

驗證碼能有效防止對某一個特定註冊用戶用特定程序暴力破解方式進行不斷的登陸嘗試，實際上用驗證碼是現在很多網站通行的方式。主要用於網上銀行、手機銀行的註冊、登錄、數據保護等方面，是身份核驗、業務風險防控的第一關口。

保護帳戶安全：能夠有效避免因惡意登錄導致的密碼洩露、帳戶暴力破解、信息被爬取等風險事件的發生。

提升營銷精準度：體驗良好必須要做到對「好」客戶影響程度最低，對「壞」客戶發現並阻斷效果最好，在極端情況能夠保障「好」客戶不被打擾。在現在金融業大力發展獲客形勢下，想要吸引、留存客戶就必須給客戶良好體驗。

保障平臺數據安全：惡意爬蟲爬取、盜用、盜取的爬取數據行為，不僅造成金融機構隱私信息和數據資產損失。驗證碼能夠防止程序惡意大量高頻的調用，給伺服器造成很多無效的註冊或登錄，佔用大量的系統資源，增加系統很多垃圾的註冊和請求信息。同時防止數據洩露。在數位化的今天，數據是企業重要資產。

根據國內268家商業銀行披露的數據顯示，在6家國有銀行、12家股份制銀行、134城市商業銀行中，使用驗證碼進行在線反欺詐的銀行分別為59%、58.3%和17.2%。

基於人工智慧的頂象無感驗證

頂象無感驗證基於用戶行為及環境信息等數據信息，結合模型和風控分析，能夠有效防範惡意破解，保障客戶信息安全，有效防控各類業務風險威脅。

頂象「無感驗證」

頂象無感驗證集設備指紋、行為校驗、操作校驗、地理位置校驗等多項功能與一身，能夠實時判斷註冊登錄帳戶的是否為真人，有效防範程序化的批量註冊、黑客惡意登錄、網絡非法爬取等欺詐風險。它獨有的專家策略，能根據校驗結果給出綜合建議，讓合法用戶無需驗證、可疑操作二次驗證、風險操作直接拒絕。讓真正的用戶無感通過，讓非法的請求無法通過，提升業務交互體驗的同時也提供安全保障。

頂象無感驗證採用多節點部署，上線簡單快捷，提供數據存儲以及中間件。能夠應用在H5/Web形式的網上銀行、電子銀行、公眾號還是APP形式的手機銀行、直銷銀行、信用卡APP亦或是微信公眾號上，能夠為註冊、登錄、營銷、交易、貸款申請、信用卡申請等各種業務場景提供集客戶體驗和風控安全的驗證服務。例如，在直銷銀行App上，能夠有效防範客戶權益被黑灰產秒殺;在手機WAP登錄、營銷活動場景中，有效防範營銷推廣作弊;在業務申請登錄場景，有效防範惡意欺詐騙貸等。

本文來源：大眾新聞 責任編輯：陳體強_NB6485