禁止公共事業(yè)公司在寒冷的冬季阻止新客戶加入的嚴格規(guī)定，促使中西部地區(qū)的石油公司利用基于知識的認證（KBA）來鏟除欺詐者。

一個不愿意透露名字的公司告訴我們它們經(jīng)歷過在冬季來臨前突然涌入大量新客戶的事情。一旦讓基于知識認證的系統(tǒng)良好運行，呼叫中心接線員就將為注冊新賬戶的用戶提供一系列多選問題。那些能回答問題證實身份的人可以獲得服務，而那些試圖通過假姓名激活過期賬號的欺詐者將很快被鏟除。

RSA身份和訪問保證組的市場營銷高級經(jīng)理Joram Borenstein說，“拖欠大筆費用的用戶試圖讓他們的服務在冬天被重新打開”。EMC的安全部門RSA提供認證服務?！半m然現(xiàn)在很難拒絕別人的熱情，但如果有人試圖欺騙系統(tǒng)，這是不可以的?！?/P>

基于知識的動態(tài)認證，為許多金融公司提供了一種在高風險交易前驗證用戶身份的技術(shù)，目前越來越廣泛的應用于電子商務網(wǎng)站、醫(yī)院和電信公司。

隨著這項技術(shù)變得更加成熟，這項技術(shù)會被用來認證更多的人和企業(yè)，同時大家會發(fā)現(xiàn)一些基于知識認證系統(tǒng)返回的問題有點過于深入。為了消除誤報，軟件算法中用來創(chuàng)建核實的問題需要保持尖銳，數(shù)據(jù)源從信用局信息到房屋銷售數(shù)據(jù)。Ezzie Schaff認為社交網(wǎng)絡是下一個數(shù)據(jù)源，并可能引起隱私權(quán)倡導者的注意。

在線珠寶商lce.com的風險管理副總裁Schaff說，他一直以來都非常謹慎，他公司的16個呼叫中心接線員不會因為詢問隱私問題而嚇跑客戶。Schaff說，他雇用接線員前都要進行背景調(diào)查，如處理信貸申請的時候是否使用基于知識的認證。拓展培訓也可以幫助接線員明白什么時候適合提問，什么問題太深會觸及客戶的隱私。

Schaff說，“隨著代理服務器和代理IP的出現(xiàn)，人們越來越容易掩飾自己的ID和位置，所以我們必須確認他們是本人。與此同時，我們不能惹惱客戶。這是一個很考驗人的工作?！?/P>

RSA在2007年收購了Verid公司，該公司采用挖掘數(shù)據(jù)庫和使用專有的算法提出核查問題。 RSA的Borenstein說，公司正在擴大其數(shù)據(jù)源，它最近又增加了輪船、飛機銷售和租賃數(shù)據(jù)庫中的數(shù)據(jù)。但他沒有談到未來將從社交網(wǎng)絡挖掘數(shù)據(jù)。

社交網(wǎng)絡本身并沒有保留帳戶持有人的大量記錄，但Twitter、Facebook和LinkedIn與第三方分析廠商合作，如Omnitur（現(xiàn)為Adobe Systems的一部分）、DoubleClick和谷歌分析——這些公司都利用瀏覽器Cookie，瀏覽器Cookie可以用來為用戶建立唯一的個人資料。

去年夏天，Worceste理工學院（WPI）和AT＆T實驗室的研究人員進行了一項研究，發(fā)現(xiàn)社交網(wǎng)絡無意泄露了用戶身份。該研究讓隱私保護者們擔心，帳戶號碼可以與瀏覽數(shù)據(jù)結(jié)合，保留在數(shù)據(jù)庫中。電子前沿基金會的技術(shù)人員Peter Eckersley說，這項研究是隱私受侵害的一個例子，大多數(shù)人甚至不知道到他們的互聯(lián)網(wǎng)活動被進行了跟蹤。

基于知識的認證（KBA）技術(shù)是通過開采第三方分析公司的數(shù)據(jù)，還是以某種方式挖掘個人在Twitter、Facebook和其他網(wǎng)站呈現(xiàn)的數(shù)據(jù)，來滲透進用戶的上網(wǎng)行為，這仍有待觀察。不過，RSA的競爭者TriCipher也了解到未來的認證將會越來越個人化。TriCipher業(yè)務發(fā)展和產(chǎn)品管理副總裁Vatsal Sonecha說，圖書館或錄像出租記錄可以提供寶貴的數(shù)據(jù)以幫助核查個人身份。但是Sonecha也說，目前“此方法還沒有被大規(guī)模的利用。”

Burton集團的高級分析師Mark Diodati說，“由于基于知識的認證問題更私人化，應用這項技術(shù)的商人和其他用戶必須對這些私有數(shù)據(jù)負責，否則將面臨失去客戶信任的風險”。Diodati說，“呼叫中心接線員不必用太敏感的尖銳問題來詢問客戶，他們可以設置一些不那么敏感的基于知識的認證系統(tǒng)問題?！?/P>

【編輯推薦】

1. 新的Flash隱私設置將影響客戶認證
2. 身份認證與安全一線牽