用户名和密码不靠谱!美国银行是如何识别并保护你身份的?
我们从这么多年的黑客攻击和网络钓鱼中学到一件事,那就是:用户名和密码本身不足以保护我们最宝贵的银行帐户。
那么,为什么美国的银行应用程序不要求我们增加额外的安全设置呢?
他们是怎么保护我们的财产的?
银行保护我们吗?
安全专家长期以来一直敦促人们启用双重身份验证或其他工具来保护财产。
银行,可以说是我们智能手机上最敏感的应用程序,通常不会让客户直接使用双重身份验证。相反,银行会在后台运行大量软件以确保这个客户不是黑客,是客户本人在操作。
登录期间考虑的几个因素包括:一天中的时间、位置、设备 IP 地址、移动运营商,以及是否有任何链接提示用户打开应用程序。
如果有任何与你独特的“行为模式”不同的地方,你的银行可能会怀疑是黑客攻击或网络钓鱼企图,并提示你采取更多步骤来验证你的身份。
按存款计算的美国四大消费银行,美国银行(Bank of America)、 花旗集团(Citigroup)、 摩根大通(JPMorgan Chase)和富国银行(Wells Fargo)都表示,从用户打开应用程序到退出,他们运行多层身份验证和监控工具。
富国银行执行副总裁兼网络安全客户官 Tami Hudson 表示:
“我们有多种“监控”,虽然用户看不到这些“监控”。但这些东西确实帮助我们主动识别我们定义为有风险或潜在风险的登录尝试。”
银行做了什么?
过去,你可能会被要求回答安全问题,例如:“您的第一只宠物叫什么名字?”
现在,较新的幕后措施占据了优先地位。有些人将用户的密码输入速度和节奏与该人之前的尝试进行比较。其他人通过检查用户点击每个键时覆盖了多少像素来分析输入凭据的压力。
这种混合的身份验证做法主要出现在银行应用程序中,因为银行风险更高。如果客户对资金安全有任何顾虑,就会换一家银行。最重要的是,银行必须遵守联邦法规以使用安全的数据管理实践,例如端到端加密。
所有以上的条件都会影响银行决定批准登录或交易。如果你的某处行为突然发生变化,银行就有机会阻止、暂停或要求提供更多信息。
即使以上这些防御措施被攻破,资金被盗,通常也会通过其他方式得到保护。
各个银行提供的安全选项
美国银行
美国银行会在不同时间要求通过双重验证验证你的身份,例如当你进行转账或使用无法识别的设备时。但是每次登录移动应用程序时,你都可以通过文本或电子邮件提示输入代码。
在银行的安全中心找到这个工具,其中有一个清单,详细列出了提高帐户安全性的其他方法。美国银行还可以通过短信或电子邮件发送一个临时的六位数代码来验证你的身份。
摩根大通
当你首次登录或使用银行服务器无法识别的设备时,摩根大通会通过电话、短信或电子邮件向客户发送验证码。
摩根大通客户还可以在设置中选择额外的安全性。对于每次网站登录,可以要求输入通过电话、短信或电子邮件发送的一次性密码以及用户名和密码。
花旗银行
花旗移动应用程序不会自动要求用户打开双重身份验证。如有需要,可以转到配置文件 >安全中心> 两步验证并打开设置。完成后,登录将需要通过短信或电话发送的一次性代码。注意:花旗正在更新其移动应用程序,因此过程可能会有所不同。
启用双重身份验证将为花旗的网站和应用程序增加安全性。客户还可以激活账户提醒,当你的余额、支付支出和账户活动出现任何异常时,该提醒将通过短信或电子邮件发送给你。
富国银行
富国银行现在可以打开双重身份验证。激活后,每次登录时,都会通过短信、电子邮件、电话或推送通知提示客户输入访问代码。
富国银行可以向你的手机、电子邮件或硬件安全设备发送一个唯一的验证码。
即使您没有激活双重身份验证,富国银也可能会在登录期间或从新的非富国银账户转账和收款时发送一个一次性密码来验证你的身份。
Ref: