日前，一条“移动客户何先生的账户被盗刷5万余元一事”的新闻刷屏网络。在此事件中，何先生的银行卡号、取款密码、预留手机号及身份证信息已通过其他途径泄露并被犯罪嫌疑人掌握，并利用已掌握的何先生的信息，破解了何先生的某云服务使用的弱密码，再利用云服务实施主副卡绑定，由主号接管副号短信后在京东盗刷和贷款。

经有关部门调查，犯罪嫌疑人具体作案手法如下：

黑产猖獗，“四大件”信息泄露严重

信息泄露是移动互联时代最大的信息安全威胁，你可知道，目前我国网络诈骗黑色产业链规模超过1100亿元，从业人员160万人，2016年网民因为垃圾信息、诈骗信息和个人信息泄露等原因，导致损失约 805 亿元，七成左右的网民个人身份信息和个人网上活动信息均遭到泄露。

在巨大经济利益的驱使下，不法分子不惜铤而走险，使用撞库、盗用、欺诈等方式进行数据窃取和数据贩卖，盗取用户个人信息。用户个人信息（包括姓名、身份证号码、银行卡号、手机号码，俗称“四大件”）一旦泄露，在支付的关键环节，动态的身份认证方式的可靠性，将直接影响用户的资金安全。

黑色产业链如此猖獗，账户安全问题越发突出，用户对支付安全管理的需求也越来越迫切，兼顾安全性和便捷性的身份认证方式，才是用户所需要的。此外，各行业平台所受到的欺诈风险也相当多，抓紧风控体系建设也是行业平台发展的核心。

新一代身份认证方式革新

在银行金融相关的业务中，除了账号密码验证，还有第二道身份验证程序来保障支付交易安全，那就是短信验证码，极简单便捷。

然而短信验证码作为动态的身份认证方式是否真的可靠呢？ 通过文中开头的案例，显然它是不安全的，不法分子想要截取你的验证码，也是分分钟的事儿。

众所周知，验证身份有三个条件：你有什么（帐密）、你知道什么（如验证码）、你是谁（如生物特征识别）。

目前，短信验证码身份认证仍然是很多银行和支付平台常用的移动身份认证方式。诚然，短信验证码具有用户体验好，成本相对较低的优势，但其以短信发送单次密码的方式，安全风险显而易见，同时短信验证码也无法识别“你是你”。

能够对抗黑产和不法分子花样百出的账号、资金盗取方式的，只有技术创新，兼顾安全性和便捷性的身份认证方式，这才是用户所需要的。那么通付盾HUE多因子身份认证解决方案是怎么样的呢，看这里~

通过安全扫码、重要信息确认、生物识别特征等在内的多种身份认证方式，来验证用户移动设备以及用户真实身份（如上图所示），以手机为终端确认账户登录、转账等关键操作，集安全与便捷于一身，其有着其他认证手段所不可比拟的优势，实现“手机在手，钱偷不走”！

此外，HUE多因子身份认证产品已通过国际信息安全测评中心EAL3级，安全性极高。

前置型风险预警是关键

事实上，无论什么平台，如果系统一旦发现有不明IP频繁试密登录，就应该及时预警风险，阻断恶意行为。犯罪嫌疑人频繁尝试破解何先生的云服务帐号，试错密码的间隔时间为3秒钟，最长为10分钟；又利用云服务“找手机-销毁资料“功能，每个5、6分钟就发出一次”销毁资料“的指令，使何先生的手机持续处于离网状态。这类风险隐患很常见，平台应升级服务安全机制，及时做好风控。

通付盾业务反欺诈平台结合在线设备识别、规则引擎等多项先进技术，能够实时监控企业平台上的设备行为，基于深度学习技术对设备行为进行多维度风险关联分析，并汇总平台用户欺诈情报，全方位动态预警业务欺诈风险，进而智能化自动拦截欺诈操作，或指导企业采取人工干预等措施。

同时为企业提供风险识别、风险控制等服务，防范各类业务欺诈风险，实现反黑产。

总之，在账号盗用情况日益猖獗、黑产技术水平不断升级的未来，把身份认证应用到网络安全中，首先要根据用户认证方式和实际需求来进行综合考虑分析，只要是能够满足用户的安全与便捷性就是最好的。