身份验证(Identity verification)历史上用于银行、赌博和加密货币等受监管行业的入职流程,但COVID-19引入了包括防欺诈在内的新的政府和劳动力相关用例。Gartner副总裁分析师阿基夫·汗(Akif Khan)表示,如今,身份验证技术提供了新的应用场景,比如:在Airbnb这样的市场中建立信任,及通过验证用户凭证来防范勒索软件攻击。Gartner 在其首份《Magic Quadrant for Identity Verification》报告中将 Entrust、Incode、Jumio、Socure 和 Sumsub 评选为身份验证领域的领导者。该报告聚焦的是一个有望从数字交互增多、监管要求以及防欺诈需求的增长中获益的市场。Khan 表示:“劳动力领域的一个主要趋势是将身份验证(IDV)作为安全工具的应用。这在很大程度上是由去年九月针对拉斯维加斯米高梅赌场的勒索软件攻击所引发的。在那次攻击中,攻击者冒充用户致电IT服务台,通过社交工程手段诱使服务台代理重置凭证,随后利用这些凭证访问了相关服务。“Khan 表示:“然而,在当前市场中,买家在评估身份验证厂商检测欺诈性文件的准确性方面面临较大困难。这主要源于缺乏标准化的测试方法。厂商通常通过配置简便性、预置集成和系统可访问性来标注自身,此外,工作流程定制工具及区域性文件支持使领先企业脱颖而出。”Khan指出:要对比厂商在准确性方面的能力极为困难,甚至可以说是不可能的。就好比我已完成对应领域的魔力象限(MQ)分析,并且是专注于该领域的 Gartner 分析师,我也没法告诉你哪家厂商在识别伪造美国驾照方面孰优孰劣。在厂商如何评估这一点上,既没有标准化测试,也缺乏一致性。Khan 进一步指出,监管在塑造身份验证的采用情况方面起着重要作用,数据主权和可访问性法规会影响厂商的选择及运营策略。一些组织要求个人身份信息必须保留在特定的特定辖区内,这就需要建立本地化的数据中心。Khan 表示,未来的法规将进一步提升可访问性和合规性标准。“未来几年,欧洲将出台有关在线服务更高规格的可访问性要求法规。我们的明智客户已开始前瞻性地审视这一趋势,察觉到这一点,并确保他们现在的厂商采购决策能够在未来这些监管框架生效时,为其将来的成功奠定坚实基础。“Khan 预见,身份验证流程将从独立的单一流程转变为可携带的数字身份,利用存储在身份钱包中的已验证凭证,可在多个平台上重复使用。根据 Khan 的观点,这一变化将在政府倡议的推动下,如美国的移动驾驶执照和欧盟的数字身份钱包,未来数年内与传统身份验证方法并存。Khan 指出:“下次您开立银行账户或注册网络游戏时,可能无需再次进行身份验证。相反,您将使用已在身份钱包中验证并存储的身份信息。在这方面,世界上已经有相关进展了。比如在美国,移动驾驶执照正逐渐获得关注。”尽管机器学习技术取得了显著进展,Khan 强调,但机器审核仍无法可靠地去验证文件,人工审核在身份验证过程中仍然扮演着关键角色。这种“人机结合”的方法在如德国等市场占据主要方式,因为当地法规禁止完全依赖自动化机器审核的流程。然而,Khan 指出,这种人机结合方法带来了处理时间、成本及数据安全方面的担忧。他进一步说道:“在某些场景中,客户确实需要人工审核参与。然而,在其他场景中,人工审核参与可能会带来问题,因为这会增加处理时间和成本。此外,人工审核所在的具体地区位置也可能导致问题。例如,尽管您的公司总部位于某一地区,但如果厂商的人工位于其他地区,用户的个人身份信息(PII)可能需要跨越全球进行人工审核,从而涉及数据安全风险。”Gartner 评选 Incode Technologies 在身份验证领域具有最全面的愿景,Jumio 获得银奖,Entrust 获得铜奖,Sumsub 和 AU10TIX 分别位居第四和第五。从执行能力的角度来看,Persona 荣获金奖,Sumsub 获得银奖,Socure 获得铜奖,Entrust 和 Jumio 分别位居第四和第五。在领导者之外,Gartner 对身份验证市场的其他参与者的看法如下:- Visionaries: AU10TIX、Mitek Systems;
- Niche Players: 1Kosmos, GB Group, Zoloz;
- 未入选名单(Missing the List): Advance.AI、Daon、ID-Pal、IDWise、Intellicheck、Inverid、Nametag、Regula 以及 Veridas,因未达到收入纳入标准而未被列入。
Entrust 通过收购 Onfido 加强欺诈检测与文件验证能力Entrust 支付与身份识别总裁托尼·鲍尔(Tony Ball)表示,收购 Onfido 将增强 Entrust 在人工智能驱动的欺诈检测和文件验证方面的能力。Onfido 的文件拖拽方式引擎提升了 Entrust 服务的灵活性和整合性,而 Onfido 在可便携及可重复使用身份方面的投入与政府和金融机构不断变化的需求相契合。鲍尔补充到,Entrust 的差异化优势在于利用人工智能和机器学习技术实现反偏见技术,以及通过生物识别活体检测和拖拽式工作流引擎提供服务。Entrust 计划在提高自动化率的同时,保持对人工干预的灵活性,它将在从公平的客户准入到定制化身份工作流等各个方面为金融机构提供支持。鲍尔在接受媒体采访时表示:“我们最重要的能力之一是利用人工智能从深度伪造的角度预测欺诈行为的源头。能够借助文件和生物特征属性做到这一点确实是 Onfido 长期以来建立的一项优势,这对我们已有的能力是强有力的补充。”Gartner 批评 Entrust 在多年期合约中折扣力度不足,对全球文件的收费高于美国文件,并且在身份验证检查中常常需要人工参与。鲍尔回应称,Entrust 的混合方法在机器审核与必要的人工审核之间取得了平衡,合规性和安全性方面的投资证明了其定价的合理性,尤其是在欧洲等受监管的市场。鲍尔说:“尽可能减少人工干预这一点确实有其合理性。但另一方面,有时确实需要人工干预,而这种混合方法对我们的部分目标受众来说是有价值的。具备这种灵活性也是一种竞争优势,就如同在一些客户眼中完全自动化是一种优势一样。”Jumio 利用人工智能、机器学习与生物识别技术提升身份验证Jumio 首席营销官安娜·康弗里(Anna Convery)表示,Jumio 在人工智能、机器学习和生物识别技术方面进行了大量投资,以提升身份验证能力。该公司的全球系统能够处理众多身份证件,并适应立法变化。她还提到,Jumio 通过趋势分析打击深度伪造,并通过活体检测增强了检测能力。Convery说,Jumio 的优势在于其在超过 200 个国家开展业务,并拥有庞大的身份证件数据库。Jumio 对创新与客户执行的双重关注,形成了平衡的战略,不同于那些可能偏重某一方面的竞争对手。她表示,Gartner 的认可反映了Jumio在这快节奏的身份验证领域的领导地位。Convery 表示:“掌握数据以洞察趋势和动态至关重要。我们花费大量时间去审视身份的整体情况,确保留意每一个迹象、每一个触发因素,这些能让我们明白这个人并非其自称的那样,甚至可能根本就不是真人。”Gartner 批评 Jumio 配置复杂、全球文件收费高于美国文件,并且在身份验证检查中常需人工参与。Convery回应称,工作流的复杂性正在通过更便捷的客户配置工具加以解决,人工干预往往是由法律或地域要求所驱动的,而较高的定价反映了 Jumio 所具备的强大工具。Convery 说:”我们一直在努力实现自动化,部分客户已达到 100% 自动化,但取决于组织机构、所处行业以及具体用例,有时候情况非常敏感且特殊,要是有需要的话,能够利用人工参与其中其实是有好处的,我们会在有需要的地方提供这种混合式的灵活性。”Sumsub 增长主管伊利亚·布罗文(Ilya Brovin)表示,Sumsub 一直致力于深度伪造检测和活体验证以应对欺诈问题,为整个用户生命周期打造了一个综合性的验证平台,并且扩大了其电子及可便携数字身份系统的使用,以取代传统的基于文件的验证方式。Brovin 说,该公司将基于人工智能的工具、大量的流量数据以及人工监督相结合,以提高其深度伪造检测的准确性,Sumsub 的系统能够检测数字伪影,并观察到合成图像中所缺失的微小动作。布罗文称,Sumsub 通过其端到端的验证解决方案彰显自身特色,这些解决方案集成了用户准入、监测以及合规检查等功能。Brovin告诉媒体:“实际上,检测深度伪造并非单一技术能够完成的任务。需要多层次的工具,才能有效地保障整个流程的安全。深度伪造检测只是攻击途径之一,而你要做的基本上是弄清楚你在和谁打交道。”Gartner 批评 Sumsub 在其路线图上没有专注于身份验证相关的特定功能,没有将专有的人脸匹配算法提交给NIST,也没有自愿采用产品评估模板。Brovin表示,Sumsub 在自愿性产品可访问性模板(VPAT)合规性以及可便携数字身份系统方面已经取得了进展,并且称鉴于美国国家标准与技术研究院认证的适用范围有限以及在美国之外的关联性不大,其认证延迟是合理的。Brovin说:”这些测试在审查内容和范围上通常非常有限。实际上,在现实应用中,我们使用活体验证和深度伪造检测的方式要比这些测试所审查的范围广泛得多。我们一直在与客户合作,对现实生活中我们的活体验证和深度伪造检测解决方案进行质量把控,而且我们相信这能带来非常高质量的结果。”Socure 创始人兼首席执行官约翰尼·艾尔斯(Johnny Ayers)表示,Socure 正在开拓身份验证的新方法,包括(OCR)技术增强文件验证、通过无监督机器学习进行预测分析,以及开发应对深度伪造攻击的新方法。公司强调速度和准确性,近期在基于人脸的重新验证和跨语言文档处理方面取得了进展。Ayers说,收购 Berbix 进一步增强了 Socure 在文件验证方面的能力,实现了深度伪造检测和条形码验证等创新功能,同时收购的技术团队的整合加速了公司的创新流程。Ayers 表示,Socure 的市场领导地位源于公司的技术实力及其对美国全球企业的战略聚焦。Ayers 告诉媒体:”我们具备在任何国家通过仅查看一两份文件进行培训的能力,基本上不再依赖模板。现在,我们可以利用 OCR 技术,以全自动化的方式将任何语言的文件转换为纯文本英文。”Gartner 批评Socure 几乎所有处理的文件都来自北美,这使得客户很难提供他们自己的代理,并且该公司没有依照国际标准化组织(ISO)的标准来测试其活体验证能力。Ayers表示,Socure 聚焦于立足美国的业务是出于战略考量,使用自动化而非人工代理提高了效率和准确性,而且对相关认证的重视程度没那么高。Ayers进一步指出:”作为一名消费者,你是愿意得到 1.75 秒的响应时间,还是愿意等待两到三周去参加视频面试呢?” 艾尔斯说道,“在疫情期间,你也看到了,要访问 ID.me 有时得等上两个月 —— 而我们用不到两秒钟就能处理好的事。所以我认为这(自动化带来的快速响应)是一件好事。”Gartner 对 Incode 表示肯定,因其拥有易于配置的工具,能将服务水平协议(SLAs)与转化率以及欺诈防范成果相挂钩,并且在对核心功能进行增强的同时,还为员工使用场景增添了新特性。Incode 近期新增了一款无代码编排工具和年龄估算产品,还计划加强注入攻击检测,并专门针对员工使用场景构建一站式功能。分析机构批评 Incode 存在营销执行效果低于平均水平、客户流失率较高以及仅依靠净推荐值来评估客户满意度的问题。Incode 的高管未能接受电话采访。
https://www.inforisktoday.com/entrust-jumio-sumsub-lead-identity-verification-gartner-mq-a-26844
文章来源:安全喵喵站
文章来源: https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247513261&idx=2&sn=de2737b4b0e50a4e942408d343ad0fd2&chksm=ebfaf38ddc8d7a9b46829689c393cf5f9416111dec51f3504c24b33eafa260efad7aa7b31f8c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh