本月,金融行动特别工作组(FATF)为金融服务监管机构发布了最终的“数字身份指南”。 FATF是一个标准制定机构,由来自世界各地的金融监管机构组成,他们负责确保金融系统不被用于洗钱、恐怖主义融资或其他非法活动。 从历史上看,FATF一直专注于传统银行业务,但随着越来越多的金融服务走向数字化,他们开始关注数字身份,将其作为安全金融系统的关键推动因素。
FATF建议是全球反洗钱(AML)和反恐融资(CFT)的公认标准。 这就是为什么最终指南在多个地方将 FIDO 身份验证视为最佳身份验证实践的示例如此重要的原因。
需要注意的第一个重要方面是,该指南将身份验证作为客户尽职调查 (CDD) 流程的一个要素,特别是当银行为拥有预先存在的数字身份凭证的人开设新账户时。 这是FATF首次明确将身份验证作为CDD的一部分,这也说明了更广泛的市场对健全用户身份验证的必要性的认识。 其次,FIDO 不仅被认为是一种可接受的身份验证形式,而且与传统身份验证方法相比,它是一种首选方法。 根据指南:
“密码或密码本应是“共享机密”知识认证器,但容易受到暴力登录攻击、网络钓鱼攻击和大规模在线数据泄露,并且很容易被破解。 被盗、弱密码或默认密码是 81% 的数据泄露事件的幕后黑手。 多因素身份验证 (MFA) 解决方案,例如向用户手机发送短信的 SMS 一次性代码,为密码/密码增加了另一层安全性,但它们也容易受到网络钓鱼和其他攻击。
至少一个因素依赖于公钥加密的防网络钓鱼身份验证器(例如,基于 PKI 证书或 FIDO 标准构建的身份验证器)可以帮助解决这些漏洞。
这不仅是对身份验证重要性的重大认可,也是对某些传统 MFA 技术的弱点(即网络钓鱼性)的重大认可,以及如何通过使用 FIDO 作为高保证身份验证来减轻这些风险。 这是一个重要的区别,我们希望银行监管机构在寻求制定新的或更新的数字身份和身份验证规则时进行强有力的评估。
点击此处阅读FATF建议全文。