【硅谷网综合讯】北京时间2019年8月28日,2019年网络安全生态峰会(2019 Internet Security Summit简称ISS)在北京举行。网络安全生态峰会前身为阿里安全峰会,已经成功举办五届,是阿里巴巴经济体安全每年对外开放交流的最大盛会。本届峰会以“智慧共享 互信共治”为主题,与各行业、各领域,分享数字经济时代的全球安全趋势与未来,共同探讨网络安全责任、科技助力社会治理等多方面话题。
支付宝安全事业部总裁芮雄文在 2019年网络安全生态峰会期间接受媒体专访,以下为采访实录:
事由:2019年网络安全生态峰会
人物:支付宝安全事业部总裁芮雄文
时间:2019年8月28日 星期三(上午)
地点:北京金茂万丽大酒店-专访间
内容如下(未经本人确认):
提问:我想问一下手机丢失场景下的生物识别,详细再说一下?
雄文:手机丢失其实是在安全方面比较难的一件事情。判断一笔交易是不是被盗、是不是他人操作,很大一部分看设备是不是用户常用的,假如一旦识别出不是常用的设备,我们会做很多的核身,比如说短信校验码、人脸。
一般觉得就是用户本人使用的手机,相应的核身少一些。不是说手机丢了你的钱就会丢,还有很多的保护措施要登录,免登的状态下还需要支付密码,有时候支付密码也可能用别的方式进行泄露。
手机丢失在理赔的时候也是一个比较难判断的场景,因为用户说我的钱丢了,我的手机丢了,很难判断他是真丢还是假丢了。我们一直在尝试即使是用户本人使用的手机,操作者还不是用户,还有一些别的特征,我们所说的特征,对于一个人是不是本人进行判断,刚才讲了三种方式:
第一,你记得的东西(密码);
第二,是你拥有的东西,比如短信校验码,但手机丢失时,这个因素也无效了,因为还是会发到这部手机上;
第三,生物特征;但我们不能强制什么时候都使用生物特征,有些人是拒绝的。尽管现在70%、80%用户用生物核身,但还是有一些用户觉得不舒服,不想用人脸,不想用指纹怎么办?
第四,来判断一个人是不是本人,就是你表现的行为。比如说拿手机的方式,你摁手机的指压,在手机操作的时候每个人都不一样。理论上讲,这些人的行为随着手机侦端感知能力的提高,能被感知到。
将来有一天,你自己的手机给别人,你把你的密码也给他,但他也花不着你钱,将来这一天只要在技术上有足够的精准突破,就可以做到。
提问:最近出现小朋友玩父母手机的时候进行了支付,将来这种情况能识别出来吗?
雄文:理论上能做到。因为每个人都有自己独特的特征。假如真能获取这些特征,从技术上也能看出来使用手机的不单单是一个人,可能是多人使用手机,因为每个人的行为也不一样。当然采集这些行为特征,都需要用户授权。
提问:刚刚说到保险方面,说是支付宝买单,每年需要负担多少钱?
雄文:我们一直说“你敢付我敢赔”,从15年前就说。其实你买不买保险,真要被盗了,我们都是赔付的。但是有些用户心里不踏实,就觉得我有保险有个保单,它就是法律合同保障,安全感更强。
当时做过这个用户调研后,我们跟保险公司合作,推出了一款帐户安全险,平均一块多钱就能买到100万保额的帐户安全险,这个钱是用户交给保险公司的,当用户发生资损的时候,保险公司要理赔给用户。很多用户有了这个保险心里特别的踏实。
内部我们自己讨论也觉得很奇怪,我已经有保障有承诺了,为什么用户还花钱买个帐户安全险呢?后来有同学打了一个比方,我觉得蛮有意思。他就说你做这个承诺像两个人的海誓山盟做,但是毕竟没有拿结婚证,保险像拿结婚证了,法律上有保障了。所以,以前我们海誓山盟的,有些人觉得还不是踏实所以要结婚,既然用户这样想,那每个用户领上结婚证,我们愿意给每个用户赠送帐户安全险,保费由支付宝买单,我们承担这笔费用。
提问:咱们这么多年赔付了多少?
雄文:赔付的金额逐年在减少,因为我们的安全能力在提高。以前我们做这个承诺的时候,其实是倒逼我们的能力提升。可能七八年的时候,我们有赔的挺多的时候。但是我们通过赔钱,反逼自己把能力不断的提高。现在被盗是非常小概率的事件,千万分之一,虽然还是有被盗,但很少了。
钱被盗的时候,用户心里还是蛮着急的,第一是有没有承诺拿到钱,第二钱什么时候能到帐?到帐的越快心里才越踏实。现在我们有秒赔,用AI的方式,判断是不是确实被盗了。或者是证据不足,或者是完全不是。能对用户的报案做出很快的答复。现在能达到秒赔的级别。现在已经有用户打电话报案,电话挂下钱到帐了,我们继续往这方面努力。
另外,可能大家也听到疑案先赔;判断的时候有时候很笃定,这个确实被盗马上就赔;另外一个我们说太不是被盗了,各种证据都说明不是被盗,我们跟用户也说明情况。但有些中间状态也有的,历史证明这种数据情况下后面确实不是被盗,因为有时候用户也记不住了,他看到一笔交易不是自己的,他就说这笔交易不是我自己的,我觉得被盗了,其实是自己的,他忘了。当时我们也没有足够的信心判断是什么样的情况,以前搁在那儿做调查,这种情况用户心里还是比较慌的,到底赔不赔,现在有怀疑的也先赔,把钱赔给你,自己后台再做调查,假如调查出来该赔的没有问题了。假如有时候不是,我们回去再给用户说明情况,用户心里也踏实。
提问:刚才您提到咱们要扩大赔付范围,收款码被替换,或者是木马二次换号、手机丢失,这些情况其实用户也是有责任的,为什么也赔?
雄文:非常好的一个问题,我们一直说把复杂留给自己,把简单留给用户。
刚才你说的确实对,有些机构不赔,比如说木马,比如说黑产发了一条链接给用户,用户不小心点这条链接,链接把一个木马放在手机上,这个木马完全控制了手机,你发个短信,你填一些密码都可以看到。他有了你所有信息之后基本上了解你所有的信息,他就可以模拟在另外机器上操作,把你的钱盗走。
但一般用户不一定有这个安全意识,不一定防得住,你说来一条链接,链接上写的是挺合理的原因。可能很多人就点了。我们是这样看待这个问题的。
第一,除非用户是主动泄露他所有的信息,他告诉你我的密码,把我的手机给你用,这种防不住。否则,木马这种的问题,我们要防。因为我们把这个放在赔付范围内,我要付钱做赔付了,肯定想办法把钱少赔,少赔的方式是我在手机上进行安全防护,对每个用户的手机想办法让他不受木马危害。假如说不负责,都是用户的问题,我们不赔,那这个问题可能永远没有动力解决。
手机丢失也是,手机丢了,这是用户自己的问题,但是我们觉得手机丢失有时候不是用户的过错,人家把你的手机偷了,或者你不小心了,而且手机丢失的场景还不单单是手机丢了,肯定一些信息也泄露了,你自己的锁屏码也没有设,让人随便进入你的支付帐户了,或者不小心你的支付密码也被泄露了,这种问题用户确实有一定程度的责任,但更多是因为新科技带来的方便,也带来的这些可能的风险,这些风险有我们专业的人来防护更合适。
一方面我们也做很多用户的教育。但是一旦这种事情发生了,我们不把责任都放到用户身上。我们觉得,把这种责任和担当放在自己身上,由此反逼各种能力的提升。
比如说诈骗也是,我们在识别而且在各种劝阻环节想尽办法,因为我们知道100%是欺诈,想都不想阻断交易了。但很多时候,是一笔交易可疑。如果我们阻断了一笔合理的交易,那用户不干了,所以我们只能对这类交易进行劝阻、提醒,想各种的办法。我们也是想保护用户的资金,给他进行各种的提示提醒,想尽办法还在想,现在想的一些方法不够,还在想。对某个不同的人群想什么方式最合适,以他可以听的方式保障资金安全。你说应该管吗?也可以不管。反正这个被骗更多是用户自己的责任,但是我觉得应该管,应该负起应有的责任。
提问:你刚才说赔付是千万分之一的水平,不同的支付方式赔付有什么样的差异?刚才说80%是生物类,20%是密码类。大家知道对生物支付还心存一些疑虑,觉得安全性、自己隐私数据的保护,会不会被别人伪造面部的特征,这方面的数据会不会有一些差异?
雄文:先说两点:第一,可能发生的风险跟资损率是有差别的。你选择生物核身,它的资损率更安全,也就是说资损率更低;选择密码。现在都非常低了,才千万分之一很低了。但是细比较,选择密码支付的,它的风险率会比生物核身稍高一些,因为这是特征决定的。密码一旦泄露了,那就泄露了。而且现在信息时代信息泄露比以前更严重,但是生物核身看上去人脸特征,好像每个人都看得到,但其实要伪造起来,而且通过我们的防护非常难。我们在生物核身上有非常深的积累,能达到金融级的安全。
核身方式不一样,风险确实有一些差别,生物核身更安全,赔付上没有差别。不管是人脸还是密码,只要钱被盗了,赔付没有差别。
提问:密码不安全是不是因为通过一些钓鱼。
雄文:一些钓鱼、木马你的密码都可以被人拿到。
提问:但是这个在生物上就不会出现这种情况?
雄文:你的脸、你的指纹都是唯一的,别人能取到你的指纹,但是后面还有活体检验。真正能突破的极少极少,肯定是比密码核身更安全。
提问:根据生物识别问题再请教一下。前几天蚂蚁发了一个生物识别的行业自律倡议书。生物识别行业的安全情况是什么样的?现在对于生物识别大家有一些疑虑,这种疑虑也包括存储的安全性,像假脸等,这种安全性怎么去做?
雄文:非常好的一个问题,也算是介绍一下这个行业。
人脸核身,有时候大家混着叫刷脸支付,有两种形态,一种是线上,一种是线下。线上是拿手机支付的时候最后刷一下脸,作为核身手段代替你的脸,这种核身我们做了很多年。但这种场景下,生物核身不是唯一的核身,是多因态的一种核身。人脸核身只是其中一个因子之一。
如果花上10万、5万,做出一个非常逼真的3D模型,有没有可以突破?其实,不管怎么突破,最多只能突破自己的账户。因为在手机上,只有输入过密码的手机,才能使用刷脸支付。靠3D模型来盗刷,第一要拿到用户的手机,第二要知道用户的密码。这种可能性非常的低。
现在人脸识别的安全,不单单在线上,已经普及到线下。线下推出的线下支付摄像头是非常高精尖的,这个设备本身的要求比一个手机的摄像头要求高很多。
人脸核身涉及到的人脸信息,一是需要用户的知情和授权,此外,在收集、传输、存储和利用上非常非常的小心。
第一,我们所有的人脸数据是加密的;
第二,即使拿到一些数据也是没用的,因为没有解密的过程。传输过程存储是解密,而且一个人的人脸是一个密码,每人一个密码。你要解密的话要找到每一张人脸的解密码,而不是一张密码能解所有人的脸;
第三,人脸的存储是跟别的信息完全隔离的,不会说这是某某的身份证,所有信息都是脱敏、加密过,我们是分散存储的,完全是在不同的地方传,不可能在一个地方找到这个人的密码,甚至找到他的人脸,完全存于不同的区域,完全是隔离加密。
这也是我们想要发布的行业规范,行业的水平还是参差不齐,因为这是新生事物,大家接受需要一点时间。像移动支付一样,刚开始大家也不太容易接受,有点怕,慢慢就接受了。我觉得任何一个新生事物正常的理解,都有一个接受时间。我们也想在行业中呼吁,大家把安全做好,这样有利于新技术的推广。假如行业里的一些公司,在做技术推广时不太小心,造成安全感丧失,可能大家就不愿意用了。我们一直在积极推动,我们的技术也相对比较成熟,也想在这方面定义一些基本的标准,你要达到这个标准才能提供这种服务,否则会造成一些安全的隐患。我们愿意在这方面为行业做一些事情,为社会做一些事情。
提问:这次推的实验室挺多的,我很好奇企业安全实验室是基于什么考虑的?这个实验室多少人,每个实验室情况什么样?这是一个什么样的组织?
雄文:我稍微讲一下企业安全实验室,安全实验室做的事情是我们跟别的企业合作,共同整治安全。跟别的企业合作的时候有一个问题,大家的数据很难分享,因为有用户授权的问题。但是大家知道,数据放在一起用才能产生更大的价值。比如说实验室研究问题,我们现在叫多方安全计算,数据相互是看不到的,但是能放在一起能够用,能够产出新的模型来,新的模型结构双方可以分享,但是具体数据双方看不见,这是新型的数据安全和隐私技术,他们就是研究这种技术的。
这种技术在推动我们跟别的生产企业怎么合作?互相联防联控,联防联控中间有一个环节,在数据可用不可见的情况下,共同创造价值,这是他们的一个研究课题思路。我们这个实验室主要为安全做服务,本身技术也可以延展到别的领域,这也是整个行业比较前沿的一个领域,现在大家都在想办法。因为数据隐私越来越重视了,要用户授权,要最小收集法则,要使用安全的程序。大家也能认识到,数据完全形成孤岛以后,其实价值不大。怎么样让数据流动起来,同时又保证数据的隐私。数据隐私很简单,就是给你个数据,这个数据看不出来是谁,但是我们能保证这种情况下让数据价值发挥出来,这是一个影响跟企业共建的问题,这件事我简单说一下。
提问:因为你们是一个联合的抬头出来支付宝安全实验室,下面又有很多小的实验室,你们是怎么考虑得?
雄文:因为安全有很多的领域,有硬件的安全、软件安全、端的安全。安全是方方面面的,比如说你的家里,一个家庭你家里安全是什么?能想到的是住的小区有很好的门卫,这是一个安全的要素;第二,我家进门的时候门锁比较结实,一般人也进不来。这个还不够,一个人进来了,有人还做移动的探测器,能监视家庭人的动作,这个也能保证你的安全。我们所有的系统不能靠一道防线,要多道防线,每道防线的安全有它独特的性质。我们这个安全实验室也一样,安全不是一个词,里面有很多细分的领域,在安全实验室里面也会有安全体系的细分。
提问:我看你宣布的是三项前沿研究,还有什么?
雄文:这是其中一个例子,我们是很低调的,其实以前实验室都存在,也在做事。在外面不怎么说。是不是有安全实验室,最重要我们做出来的东西能不能实际帮到用户和行业,这是最关心的。我们的实验室是不是要有名气,不关心。
我们跟有些安全实验室不一样,有些实验室制造恐慌,让你觉得网络世界很危险,这些东西是很吸引眼球,但我们更想做的,是用技术解决这种恐慌,让大家觉得更安全。
提问:集团和阿里云这边有什么样的安全上合作?
雄文:我们跟阿里经济体系有几个方面的联动。阿里巴巴集团也有安全实验室,我们保持互动,技术上做了很多交流和共享;另外,我们跟整个的达摩院有联络,实验室是研究未来三五年比较前沿的东西,达摩院更长远,从整个社会角度、整个行业家度,研究未来10-15年的新型技术,我们的定位不一样,我们能持续保持链接,那边大牛更多。
提问:你们有关注到大部分的用户不太懂技术,当他们用到钓鱼和木马的时候导致的帐户财产损失,你们有考虑给他们先行赔付的把?
雄文:只要他不是主动情况下骗走的信息,一向被盗全赔。包括现在升级到用帐户安全险,钓鱼、木马以及被动的信息泄露,这种情况都赔。
提问:你们考虑和判断的标准是什么?我发现有些支付平台,当用户去申报帐户被盗了,我有损失了。他们现在的做法是第一时间先证明是不是中木马了,如果一旦证明手机中木马了,说你手机中木马了,发生的事情跟我无关。为什么你们也把这个作为用户免责,你们愿意进行赔付?
雄文:我们觉得只要不是用户主动的行为,只要他是被动的行为,因为黑产的技术发展到一定地步,一般的用户很难防住一些手段。不能因为这个原因就让用户来负责,第一我们认为应该负责;
第二,因为我们做出了承诺和赔付,倒逼自己提高自己的能力,帮助用户做好这件事情。现在我们有一些安全方面的能力,一些小的程序可以给到用户。比如说诈骗电话进来,其实有很多的链接都可以提示他,所以反逼我们自己提供这样的能力。这样的能力假如用户到的,防到了这些,也是帮助我们的时候,通过这种方式倒逼自己的能力提升。
整个赔付原则是用户优先,我们不能证明用户某种程度是有责任的,那你就是无责任的。唯一有责任的,你来说这笔交易不是我的,这是别人的,我们背后一看是你本人的手机,你还用了一个刷脸支付,又是一个熟悉的环境,可能就在你们家的WIFI转了一笔帐,而且转帐的人也是你熟悉的人,我们觉得这种不是被盗的情况。这种情况其实不少的,有些用户无意,因为交易那么多,在哪吃个饭记不住了。因为很容易,往上点一个键就说这笔交易不是我的,就可以上报了,这种情况不少,比你想象的还多。但是没有关系,即使我们看到这种情况也不马上说用户好像骗我们,我们先把事实澄清给他,看到这笔交易是这个情况,是你自己的手机,用户再看看是不是自己的?很多用户说我记错了。整个原则使用无罪推论,除非证明你有责任,我们还是以用户第一,这是始终坚持原则。刚才你说的手机中的木马不赔,在我们这边明文提出来由于手机中木马帐户被盗全赔。
提问:蚂蚁能不能发起行业作为一个呼吁,像银行和信用卡弄个标准一旦证明手机有一个病毒,好像完全是你的责任,以后的风险不要找我们,能不能发起跟你们合作的银行和电商大家都按这个标准执行。
雄文:我们有一些行业联盟,要做到这一点还是需要有些技术手段,没有足够的技术天天赔钱我们也说不了,赔钱赔的多赶紧倒逼自己把能力提高,我们才能做到这一点,不是每家企业都能做到这样,但是我也能理解,如果那样的话它赔死了。我们现在是合作的方式,把我们的能力开放给他们帮助他们把能力提高,我们想以后用户保障能不能形成一个行业的标杆,现在我们正在进行探索,能不能给用户更多的保障,慢慢推动这个行业往前走。现在马上让整个行业达到这种标准,可能还需要一定的时间。
提问:您之前演讲中提到现在有超八成的交易在端上不在云上,我想问一下这个数据八成是有一个趋势还是一开始就这样子,我们会下意识认为云上是更安全的东西,为什么现在决策是在端上进行的呢?
雄文:非常好的问题。第一,肯定不一开始就是八成,2016年开始在端上,某种意义上用户授权情况下,可用的数据越来越多。原来端上就是采集一下上网的环境、设备一些基础信息,现在可用信息越来越多,可以用来识别本人还是他人。每次操作,都要把这些数据搬到云上,跟云上用户一些历史数据做机器学习然后做判断。后来发现我们这个能力也被倒逼,一个能力是“双十一”,“双十一”零点的时候峰值交易,2017年是一秒25万笔,假如你开一个商店的话,一秒钟有25万人收银台付款,量是爆炸的。
那个时候如果交易过不去的问题很严重。为什么?很多用户是在前十天要把买的货放在购物车内,有些货是限量的,有很好的折扣。假如他抢不到的话,就会觉得是支付宝不给力。那个情况反逼着我们说,有什么样的方法现在数据放在云端,云端做计算,计算完了决策再回去。但是端有一个问题是计算能力非常有限,不能像云端一样,要算的话非常耗时、没有空间。支付宝的APP就这么大,能用的空间就这么多。
另外,耗电池非常重要,不能天天耗时。对于我们来讲要攻克很多的难关,对于一些交易尽管云上数据很多,从完全的风险决策上可能云端数据最多,决策最广、最完美。在资损率千万分之一的情况下,其实很多交易很安全,不要在云端做额外计算一样很安全。就是你自己的手机,刚刚做过一个指纹认证,到一个正常老买东西的店,而且就是在同一个城市同一个WIFI里下,我不用做那么多的计算,也知道这笔交易99%以上都是安全的,这些计算在端上就可以实现了。
端上有什么好处?
第一,快;不用走云端,不用数据送来送去,节省资源。
第二,对用户的隐私保护更安全;刚才说的一些行为数据,数据量又大送来送去很麻烦的,耗时、耗计算资源,现在在端上就直接算了,这样对我们的技术能力要求很高,要把所有的计算搬到端上,决策搬到端上,而且不光搬就可以,还要对云端进行加固。我们的云端有很多的加固,不是谁就可以访问的,端上是一样的,当你的决策放在那儿,你的决策对周围的环境进行加固,所以我们多年来一直研究怎么样在端上做计算,而且加固端的防控能力,慢慢才做到现在的八成交易在端上进行,我觉得将来这是一个趋势。在万物互联的时代下,尽管端与端之间的交互有很多,但是以后的端比现在想象多得多,很多计算可能都在端上进行,复杂的计算跑到云上进行,这样端云结合。
提问:刚才您提到比如说咱们正在研究一个叫手机开锁,这个能详细介绍一下怎么样构想的,已经推进到哪个阶段,用的哪个技术,这个技术创新背后有什么样的风险平衡?
雄文:现在有一些智能门锁已经上线了,门锁本身是一个物联网的装置。像原来拿钥匙,或者拿一个房卡,房卡就有一点智能门锁的性质。以后我们说不要带一个物理装置,是钥匙还是卡,现在卡比较普遍。以后钥匙放在手机里面,放在手机里面有两件事需要解决。一个是放在手机里面,怎么知道开锁的人就是本人;二个是这个手机要跟门锁之间发生连接,他们之间要互相认识,尤其门锁要认这个锁。其实是把数字钥匙放在手机里的时候,这个底层需要几个技术;
第一,一个技术是说怎么样确认拥有数字钥匙那部手机是你拥有的,这就需要用数字身份识别的技术,主要是生物核身,现在生物核身达到一定的地步,完全可以对人脸做判断。人脸判断不单跟你判断,还跟身份证上的照片做判断,一起来判断你这个人是不是身份证照片上那个人,这是第一步就解决了钥匙是谁的,是不是应该拥有这个钥匙人的。
第二,利用物联网的可信技术;数字钥匙要跟智能锁他们之间进行交流,我认你这个,这把钥匙就只能开这把锁,或者这把锁只能用这个钥匙开。这是用物联网技术和可信识别技术,有两大技术,技术主要是基于数字身份实验室开发的。现在已经投入使用了,小场景的智能门锁已经投入使用了。不光是在一些租房场景,现在有一些Airbnb短租,拿钥匙怎么拿?以前取钥匙还钥匙是一个大的问题,因为房子就住两天,现在就可以智能解决门锁的问题。第一次到APP上租房子,可以通过身份识别知道确实是你,给你发放数字钥匙,只有用数字钥匙到那个门才能打开锁,现在已经开始使用了。我们想把数字钥匙概念普及到生活方方面面,比如说办公室、家里面,将来进小区、进公司,都可以使用,某种意义上可以想像将来不用钥匙了。现在不用卡了,很多银行卡、信用卡、身份卡都可以放在手机里面,以后我们想钥匙也放在手机里面。
提问:刚才您说到智能门锁和手机开锁,现在已经跟哪些合作伙伴有合作?
雄文:具体情况,我们有这方面的材料给你。以后可以想像,先是用手机开汽车,将来像刷脸支付一样,手机也不要了,带着你自己就可以。现在我们依托手机识别这个人,将来技术成熟到一定地步,不用依托手机,你就是你。人识别对方,人脸或者看,这是最自然的方式。你怎么认识一个人、认识一个朋友,不就是看到他就认识了,你要不要拿证件证明?不用的。我们最后要回归到人最自然的状态,比如说声纹,现在计算机交流的方式其实是不自然的,我们要输东西。其实人跟人之间交流不输东西的,就说话。以后声音技术,现在家里用的天猫精灵,这也是讲到5G物联网时代,那就是人最自然的交流方式,就说话,一说就明白了。现在计算机、手机不足够明白我们,所以要输。到将来说就可以了,到将来认识看你的脸,或者看这个人的形态就可以了,智能识别唯一天下,世界上只有唯一一个你,你一说话就能识别,这是你的命令。将来科技让我们绕了一圈又回归人最原始、最自然的交流方式。
(结束)
|
