近年來數字支付錢包爆炸了,預計將達到52億用戶到2026年,全球。但是,儘管ApplePay,GPay和Paypal提供了快速付款的普及,但一項新的研究仍在質疑他們的安全性,並警告確保身份驗證方法的變化以避免身份盜用和欺詐。
馬薩諸塞大學阿默斯特大學和賓夕法尼亞州立大學的研究人員通過數字錢包分析了金融交易的安全性,專注於身份驗證,授權和訪問控制安全功能。
確定的問題之一是確定身份驗證方法的弱點。銀行通常將用戶身份驗證方法的選擇委託給錢包。通常,使用兩種類型的身份驗證方法:基於知識的身份驗證(KBA)和多因素身份驗證(MFA)。當涉及智能手機上的持卡人驗證方法(CVM)時,選擇落到了設備本地的密碼,模式或生物識別驗證。
但是,儘管將權威授權授權是有效且可擴展的,但這損害了安全性。
該研究說:“我們確定所有錢包都缺少銀行的萬無一失和統一的身份驗證政策執法。” “這種身份驗證的委託有缺陷,因為攻擊者可以要求銀行接受弱的身份驗證程序,從而孕育了許多安全漏洞。”
該紙,標題為“在錢包中,我們信任:繞過免費購物的數字錢包支付安全”警告說,某些攻擊可能會導致嚴重的後果,其中包括盜竊銀行卡進行購買的盜賊,儘管銀行封鎖了它們。由於數字錢包需要敏感的個人和財務信息,因此安全問題可能導致身份盜竊和財務欺詐。
研究人員提出了一些解決方案,以解決數字錢包中的安全問題,包括採用推送MFA和密封碼,而不是傳統的基於OTP的身份驗證方法。該論文並未明確指服務器端生物識別技術。其他解決方案包括在令牌管理中使用連續身份驗證,並將一次性與經常性交易區分開。該論文總結說,還需要增加付款應用程序對卡片撇渣器的安全性和安全性。
同時,數字錢包繼續吸引人,不僅是為了付款身份驗證和訪問控制。
