城商行是我國(guó)銀行業(yè)的重要組成部分，像浙商銀行、北京銀行等都屬于城商行。本文作者下載了134家城商行的手機(jī)銀行APP，對(duì)其中的身份安全模塊進(jìn)行了體驗(yàn)與調(diào)研，一起來(lái)看一下吧。

城商行是我國(guó)銀行業(yè)的重要組成部分，在日常生活中我們耳熟能詳?shù)谋热缯闵蹄y行、杭州銀行、北京銀行等，都屬于城商行。全國(guó)總計(jì)先后成立過(guò)150家城市商業(yè)銀行，經(jīng)過(guò)一段時(shí)間的發(fā)展合并重組后，目前仍存續(xù)134家。

在早期，城商行的業(yè)務(wù)定位是為全國(guó)各地的中小企業(yè)提供資金支持，隨著近年來(lái)我國(guó)金融行業(yè)的不斷發(fā)展，城商行也逐步演化開(kāi)始為地方居民提供金融服務(wù)，更有甚者已經(jīng)將自身的業(yè)務(wù)拓展至全國(guó)乃至世界。

作為關(guān)注身份安全領(lǐng)域的我們，下載了134家城商行的手機(jī)銀行APP，對(duì)其中的身份安全模塊進(jìn)行了體驗(yàn)與調(diào)研。

一、銀行業(yè)的數(shù)字化轉(zhuǎn)型

身份認(rèn)證是維護(hù)金融安全的第一道屏障，以往我們?nèi)サ姐y行柜臺(tái)辦理業(yè)務(wù)，都會(huì)經(jīng)歷最嚴(yán)格的身份認(rèn)證措施，比如通過(guò)柜面識(shí)讀儀讀取身份證鑒別證件真?zhèn)?，在結(jié)合柜員肉眼辨別本人與證件是否一致，以此來(lái)確保我們的物理身份與金融賬戶能夠做到一一對(duì)應(yīng)，從而降低洗錢、恐怖主義融資、欺詐等風(fēng)險(xiǎn)。

隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，銀行也紛紛開(kāi)始數(shù)字化轉(zhuǎn)型，推出自己的手機(jī)銀行APP，用戶拿出手機(jī)足不出戶就可以辦理業(yè)務(wù)，但在數(shù)字化轉(zhuǎn)型的過(guò)程中，卻面臨著大量身份安全風(fēng)險(xiǎn)隱患。

“據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心《第49次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》披露：截至2021年12月，有22.1%的網(wǎng)民遭遇個(gè)人信息泄露?！?/p>

“某銀行人臉識(shí)別系統(tǒng)被攻破，北京李女士被詐騙人員從手機(jī)銀行盜走43萬(wàn)元！”

身份安全是身份認(rèn)證的基礎(chǔ)，身份安全的底層則是由設(shè)備安全所建立的，沒(méi)有設(shè)備安全，即使我們倚重的人臉識(shí)別也能被不法分子輕易攻破。

二、城商行手機(jī)銀行APP身份安全功能分類

與國(guó)有銀行不同，在我們的固有印象中，大多數(shù)城商行即便擁有自己的APP，也只是為了方便群眾辦理理財(cái)、信貸等線下金融業(yè)務(wù)，這樣一來(lái)縮小了用戶范圍，即便出現(xiàn)風(fēng)險(xiǎn)事件損失也能完全可控，因此城商行對(duì)于身份安全的需求并沒(méi)有股份制或國(guó)有銀行那么強(qiáng)烈，然而事實(shí)真的如此嗎？

134款A(yù)PP中，在應(yīng)用市場(chǎng)無(wú)法搜到的有30家，無(wú)法直接線上開(kāi)戶的有38家，另外還有9家無(wú)法登錄或是正常完成認(rèn)證。也就是說(shuō)在這134家城商行中，超過(guò)40%的銀行都支持線上直接開(kāi)展業(yè)務(wù)，比我們想象中的比重要大的多。

而且，這也并不意味著無(wú)法線上開(kāi)戶的銀行就不涉及任何身份安全的風(fēng)險(xiǎn)。一樣的道理，即使你在線下完成開(kāi)戶，你開(kāi)通手機(jī)銀行只是為了轉(zhuǎn)賬方便，依然有人能夠繞過(guò)重重關(guān)卡直接盜取你的賬戶。

我們?cè)谕驴矗?7家支持線上開(kāi)戶的城商行中，有47家APP具備身份安全功能，占比82.45%。這些身份安全功能不外乎設(shè)備管理、登錄管理、支付管理、證書管理等，我們做了如下歸類整理。

• 設(shè)備管理：查看常用設(shè)備、常用設(shè)備刪除、常用設(shè)備綁定
• 登錄管理：密碼設(shè)置、手勢(shì)解鎖、指紋解鎖、人臉解鎖、聲紋解鎖、微信/支付寶綁定
• 支付管理：交易限額、指紋支付、面容支付、藍(lán)牙U盾、安全鎖、pin碼
• 證書管理：云證書、動(dòng)態(tài)令牌、芯盾

三、曾用設(shè)備不等于可信設(shè)備

按照設(shè)備類型我們可以劃分為三種，即：陌生設(shè)備、曾用設(shè)備、常用設(shè)備。根據(jù)不同的設(shè)備類型，我們可以進(jìn)行風(fēng)險(xiǎn)分級(jí)，目前少數(shù)手機(jī)銀行APP根本就沒(méi)有做設(shè)備管理的功能，也就意味著無(wú)法對(duì)風(fēng)險(xiǎn)做進(jìn)一步的細(xì)分把控，即使做了相關(guān)功能，做法上也是錯(cuò)誤的。

我們調(diào)研的這些城商行APP中，全部把用戶曾經(jīng)用過(guò)的設(shè)備，默認(rèn)叫做常用設(shè)備。雖然從語(yǔ)言文字的邏輯上是說(shuō)的通的，但是曾用設(shè)備卻并不等于常用設(shè)備。一旦有了常用設(shè)備的設(shè)定，風(fēng)險(xiǎn)等級(jí)也就會(huì)對(duì)應(yīng)進(jìn)行降級(jí)，但我只是經(jīng)常用這部手機(jī)登錄我的手機(jī)銀行賬戶，并不代表這部手機(jī)就是可信任的。比如我會(huì)經(jīng)常使用朋友的手機(jī)、公司的公共手機(jī)、無(wú)法時(shí)長(zhǎng)保障安全的備用機(jī)等等。

我們也可以把常用設(shè)備改個(gè)名字，直接叫做“可信設(shè)備”，可能會(huì)更加直觀的理解我的意思?？尚旁O(shè)備應(yīng)該是需要我去主動(dòng)授權(quán)或綁定的，但現(xiàn)在銀行的做法是我登錄過(guò)的即為可信，這是根本上的錯(cuò)誤。

完成對(duì)設(shè)備的分層之后，我們就可以結(jié)合其他金融科技能力，來(lái)搭建我們的風(fēng)險(xiǎn)管理體系。

四、手機(jī)銀行APP如何基于設(shè)備安全搭建風(fēng)險(xiǎn)管理體系？

1. 基于設(shè)備進(jìn)行分層

針對(duì)陌生的設(shè)備，我們就用最高安全級(jí)別的認(rèn)證方式來(lái)讓用戶驗(yàn)明自己的身份，比如需要完成人臉識(shí)別、甚至是使用NFC去完成證件真?zhèn)蔚谋鎰e。

對(duì)于常用設(shè)備，我們可以使用相對(duì)較輕的認(rèn)證方式，比如輸入密碼、pin碼，完成身份二要素核驗(yàn)等等。

對(duì)于用戶主動(dòng)綁定過(guò)的可信設(shè)備，則通過(guò)最基礎(chǔ)的方式來(lái)進(jìn)行認(rèn)證，比如指紋、手勢(shì)碼等等。

這里是基于設(shè)備本身做的風(fēng)險(xiǎn)分層，我們也可以通過(guò)不同場(chǎng)景，進(jìn)一步分層。

2. 基于場(chǎng)景進(jìn)行分層

比如，登錄是一個(gè)相對(duì)來(lái)說(shuō)風(fēng)險(xiǎn)較輕的動(dòng)作，可以通過(guò)低風(fēng)險(xiǎn)措施完成認(rèn)證，比如常見(jiàn)的指紋、手勢(shì)碼登錄。

查看賬戶余額，更新身份信息等操作，屬于較高一層的風(fēng)險(xiǎn)操作，可以輸入密碼、pin碼等方式完成認(rèn)證。

轉(zhuǎn)賬、購(gòu)買理財(cái)產(chǎn)品等場(chǎng)景，屬于最高風(fēng)險(xiǎn)操作，必須采用最嚴(yán)格的核驗(yàn)方式，完成核驗(yàn)或?qū)?yīng)進(jìn)行風(fēng)險(xiǎn)降級(jí)。

如果將這兩個(gè)維度進(jìn)行組合，我們就形成了一套基于安全設(shè)備管理的數(shù)字銀行全場(chǎng)景身份風(fēng)險(xiǎn)控制方案。

此外，我們也會(huì)發(fā)現(xiàn)，當(dāng)前的城商行APP中，大多是基于設(shè)備號(hào)去做的設(shè)備管理，這種方式其實(shí)也不太適用當(dāng)下的環(huán)境。

隨著個(gè)人信息保護(hù)法、反電信詐騙法的相繼出臺(tái)，對(duì)用戶信息的獲取及濫用進(jìn)行了有效控制，設(shè)備號(hào)也屬于個(gè)人身份敏感信息，在可以預(yù)見(jiàn)的將來(lái)，一定會(huì)退出歷史舞臺(tái)。我們近年來(lái)也一直在尋找解決方案，并且近期也發(fā)現(xiàn)了一種不依賴設(shè)備號(hào)數(shù)據(jù)也可以完成設(shè)備管理的方法，可以關(guān)注我之后的文章。