为什么硬件设备应成为银行强身份验证策略的关键组成部分

强身份验证（SCA）是金融机构确保安全与合规的核心要素，尤其是在在线银行业务中。尽管许多银行已经采用硬件认证设备进行客户身份验证，但也有些银行选择仅依赖移动认证。随着越来越多的人使用移动认证应用，银行是否应选择移动认证还是硬件认证，成为了一个常见问题。

为什么硬件认证设备应继续作为在线银行应用的重要安全组件？

仅依赖移动认证不足以满足欧盟合规要求

2023年6月，欧洲委员会发布了《支付服务指令》（PSD3）和《支付服务监管条例》（PSR）的草案提案，这将取代修改版的《支付服务指令》（PSD2）和《电子货币指令》（EMD2）。PSR草案第88条规定，金融机构不能仅使用单一的强身份认证（SCA）机制，例如基于智能手机的机制，而应支持多种认证方式。这意味着，金融机构不能采用仅依赖移动设备的方式，而是需要支持包括硬件认证设备在内的其他认证机制。

PSR第88条还要求金融机构确保所有用户均可进行强身份认证，包括老年人、残障人士和数字技能较低的用户，甚至那些没有数字支付渠道的人。因此，金融机构必须支持多种身份认证方式，以满足不同用户群体的需求。例如，视力受限的用户可能更倾向于使用带有语音功能的硬件认证设备。

移动银行应用面临的欺诈威胁

由于移动操作系统（如Android、iOS）的开放性，移动银行应用仍然是欺诈分子重点攻击的目标。诈骗者通过多种手段盗取登录凭证或发起欺诈交易，包括：

银行木马：这些恶意程序旨在窃取银行应用中的登录凭证和金融数据。木马通常通过应用下载等方式潜入，悄悄在后台运行，危害应用安全。

假冒银行应用：这些恶意应用伪装成真实的银行应用，欺骗用户泄露登录信息。假冒应用通常通过非官方应用商店或钓鱼网站传播。

点击劫持：攻击者通过覆盖欺骗性链接，诱使用户点击并执行恶意操作。

键盘记录木马：该木马会记录按键并窃取敏感数据，包括登录凭证。

英国金融服务机构发布的《年度欺诈报告》显示，2024年移动银行欺诈案件较2023年增加了62%，造成的损失达到4550万英镑。

来自国家级黑客的系统性威胁

例如，2023年8月，国家级黑客组织对捷克银行和捷克证券交易所发起了DDoS攻击，切断了客户的在线银行访问。此类攻击突显了金融机构面临的国家级网络安全威胁，这种威胁可能导致经济不稳定和银行系统的信任危机。

相比之下，基于移动设备的身份认证机制通常比硬件设备更易受到系统性威胁。例如，在城市拥挤区域，干扰手机通信的信号可能会导致大规模的银行服务中断。

硬件认证的优势

针对上述的欺诈威胁以及来自国家级黑客的风险，硬件认证设备的重要性不言而喻。硬件认证设备独立于移动设备和网络，因此不易受到针对移动银行应用的攻击影响。

为了确保在线银行的安全性，银行应选择具有以下特性的认证方案：

防钓鱼功能：硬件认证设备生成的认证码即使被欺诈者窃取，也无法用于伪装成合法用户发起欺诈交易。

所见即所得功能（WYSIWYS）：用户可以在硬件认证设备的信任显示屏上查看交易详情，确保信息未被恶意软件篡改。

量子抗性：随着量子计算的发展，硬件认证设备应使用能够抵抗量子计算机攻击的加密算法，确保长期安全性。

零足迹：硬件设备无需在用户设备上安装或配置软件，简化了使用过程。

结合硬件认证设备，打造未来安全的强身份认证策略

随着金融行业面临的安全威胁和法规要求不断变化，单一依赖移动设备的身份认证方式难以满足日益严苛的合规要求。硬件认证设备为银行提供了应对这一挑战的有效解决方案。