省商行是我国银行业的重要组成部分，如浙江商业银行、北京银行等都属于省商会。本文作者下载了134家省商行的手机银行应用程序，对其中的身份安全模块进行了体验和调查。一起看一下吧。

城市商行是我国银行业的重要组成部分，在日常生活中，我们熟悉的浙江银行、杭州银行、北京银行等都属于城市商业街。全国总合先后成立了150家城市商业银行，经过一段时间的发展和合并重组，目前存续了134家。

初期，城市上司的业务定位是为全国各地的中小企业提供资金支持，近年来，随着我国金融行业的不断发展，城市上司也开始逐渐演变，为地方居民提供金融服务，更有甚者将自己的业务扩展到全国乃至世界。

对身份安全领域感兴趣的我们下载了134个城市上司的手机银行应用程序，体验并调查了其中的身份安全模块。

一、银行业的数字转型

身份认证是维护金融安全的第一道屏障，过去到银行柜台办理业务时，经历了最严格的身份认证措施。比如通过文件柜识别器阅读身份证认证证，用文件柜肉眼确认本人和证件是否一致等。通过这种方式，我们的物理身份和金融账户可以一一对应，从而减少洗钱、恐怖融资、诈骗等风险。

随着移动互联网时代的到来，银行也开始向数字转型，推出了自己的手机银行应用程序，用户掏出手机就可以不出门处理业务，但在数字转型过程中，面临着大量的身份安全风险。

“据中国互联网信息中心《第49次中国互联网络发展状况统计报告》称，截至2021年12月，22.1%的网民遭遇个人信息泄露。”

“一家银行的人脸识别系统沦陷了，北京李女士被骗子从手机银行偷了43万韩元！”

身份安全是认证的基础，身份安全的底层由设备安全构建，没有设备安全。我们依靠的面部识别也很容易被不法分子打破。

二、城市商业手机银行APP身份安全功能分类

与国有银行不同，在我们固有的印象中，大多数城市上司即使有自己的应用程序，也为了方便大众处理理财、信用等线下金融业务，缩小用户范围，即使发生风险事件损失也能完全控制，所以城市上司对身份安全的需求不如股份制或国有银行强。但是事实真的是这样吗？

在134个应用程序中，应用程序市场上找不到的有30个，无法直接在线开户的有38个，还有9个无法注册或正常完成认证。也就是说，在这134家城市商铺中，超过40%的银行支持在线直接业务比我们想象的重要得多。

此外，这并不意味着不能在线开户的银行不包含身份安全的风险。基于同样的原因，即使在网上开户，开手机银行也只是为了转账的方便，仍然有人可以绕过重重关卡直接偷你的账户。

从下面看，在支持在线开户的57个城市商家中，有47个应用程序具有身份安全功能，占82.45%。除了设备管理、登录管理、支付管理、证书管理等外，这些身份安全功能还分类如下：

设备管理：常规设备视图、常规设备删除、常规设备绑定登录管理：设置密码、手势解锁、指纹解锁、面部解锁、语音解锁、微信/支付宝绑定支付管理：交易限额、指纹支付、面部支付、蓝牙usin、安全锁、

根据设备类型的不同，可以分为陌生设备、二手设备、商用设备等三种。可以根据不同的设备类型划分风险等级。目前，少数手机银行APP完全不具备设备管理功能。这意味着对风险不能再细分了。即使履行相关职能，做法也是错误的。

在我们调查的这个城市商家应用程序中，所有用户使用的设备基本上都称为商用设备。语言文字的逻辑是行得通的，但早就使用了设备，并不意味着商用设备。一旦设置了常用设备，风险水平也会相应降级，但我经常用这款手机登录我的手机银行账户，并不意味着这款手机可靠。例如，经常使用朋友的手机、公司的公用电话、不能长期保障安全的备用机器等。

我们还可以重命名常用的设备，可以直接称为“可靠的设备”，也许能更直观地理解我的意思。可靠的设备需要我自愿许可或绑定，但现在银行的方法是我登录是可靠的。这是一个根本性的错误。而是你。

设备分层完成后，您可以

四、手机银行APP如何基于设备安全搭建风险管理体系？

1. 基于设备进行分层

针对陌生的设备，我们就用最高安全级别的认证方式来让用户验明自己的身份，比如需要完成人脸识别、甚至是使用NFC去完成证件真伪的辨别。

对于常用设备，我们可以使用相对较轻的认证方式，比如输入密码、pin码，完成身份二要素核验等等。

对于用户主动绑定过的可信设备，则通过最基础的方式来进行认证，比如指纹、手势码等等。

这里是基于设备本身做的风险分层，我们也可以通过不同场景，进一步分层。

2. 基于场景进行分层

比如，登录是一个相对来说风险较轻的动作，可以通过低风险措施完成认证，比如常见的指纹、手势码登录。

查看账户余额，更新身份信息等操作，属于较高一层的风险操作，可以输入密码、pin码等方式完成认证。

转账、购买理财产品等场景，属于最高风险操作，必须采用最严格的核验方式，完成核验或对应进行风险降级。

如果将这两个维度进行组合，我们就形成了一套基于安全设备管理的数字银行全场景身份风险控制方案。

此外，我们也会发现，当前的城商行APP中，大多是基于设备号去做的设备管理，这种方式其实也不太适用当下的环境。

随着个人信息保护法、反电信诈骗法的相继出台，对用户信息的获取及滥用进行了有效控制，设备号也属于个人身份敏感信息，在可以预见的将来，一定会退出历史舞台。我们近年来也一直在寻找解决方案，并且近期也发现了一种不依赖设备号数据也可以完成设备管理的方法，可以关注我之后的文章。

本文由 @薇笑时好美 原创发布于人人都是产品经理，未经许可，禁止转载。

题图来自 Unsplash，基于 CC0 协议。

该文观点仅代表作者本人，人人都是产品经理平台仅提供信息存储空间服务。