无论是O2O还是全渠道支付,都面临着一个问题,如何在不同介质之间无缝定位一个消费者实体?而出于隐私原因,消费者并不会主动把各种的个人识别介质都交给商户。这个时候,就需要卡受理终端POS机,ECR,店内监控,用户浏览器等种种设备进行联合工作了。
下面列举一下一些用于身份识别的技术:
- 生物识别
- 指纹(+静脉),由于被广大的公安部国安部FBICIA所采用,因此是比较容易理解的生物识别技术,但是目前支付上用的最普遍的(Apple Pay) iPhone,指纹信息却无法被商户得到其信息(局部的或者HASH值也不行),这个场景中更多的识别实体是iPhone,而不是指纹,指纹只与iPhone产生验证关系。不过指纹有可能用于银行业其他的业务。静脉识别在指纹识别之上又增加了确认某人可靠性,但同时也提升了识别操作的难度。
- 瞳孔,某些国家把瞳孔识别和指纹识别一起使用,瞳孔识别理论上比指纹识别更强更安全。但是瞳孔识别两个弊端:设备偏贵,用户体验非常差。你想象一下(摘下眼镜,再)把眼睛贴近那个漏斗型的瞳孔仪。
- 掌纹,2000年的时候参观某个顶级机房,其门口就是一个球状的掌纹仪,扫描过后,铁门才缓缓开启。当时看来有点太做作了。掌纹还是在类似的高端门禁上比较适合,支付场景中交易频繁,按一下,还是多了一个用力的动作。除非能设计出更有趣的场景。
- 人脸,这是近年来最火的一个生物识别特征了。人脸分为人脸检测和人脸识别,人脸检测可用于统计场景中的人的数量,而人脸识别则用来判断这个人是谁(1:N)/是不是他(1:1)。人脸检测无疑对增强场景中的群体营销有帮助。而人脸识别中,判断是谁,则存在准确率的问题,如果直接用于定位支付实体,在人数超过百万的时候,会产生很多的问题,比如被盗刷脸了。而判断是不是某人,这就安全多了,这个时候,人脸相当于一个PIN,与PAN一起进行交易确认,出错率接近于零。而人脸在支付过程中又可以收集下来给商户进行数据分析,以方便进行进一步营销。
- 声纹,每个人说话的语音都有其特征,根据此特征进行区分。用于增强营销的消费者身份确认是没问题的,但由于声音的可复制和重放的特点,不适合进行支付的身份确认。
- 纹身
- 身体特征,纹身和身体特征,比如耳部什么的,原理还是来源于一个智能的图像识别以及特征提取,使用与否,取决于消费者本身,这个身体特征,是用来作为一个信物用于确认身份。不具备通用性。几年前有个愚人节笑话,说阿里允许以一个信物作为交易的确认,比如要是或者项链。身体特征相对于PIN或者人脸是一个更具开放性的特征,由于足够开放,完全机器化的识别将对机器和算法要求太高,目前是无法工业化的。
- 心跳,这项技术仍在开发中,原理是通过可穿戴设备收集心跳信号,再将信号传送出来作为识别信息。考虑到可穿戴设备本身已经可以作为身份认证的载体,所以心跳反而就是锦上添花的功能了。
- 手写签名,目前交易中的签名并不用于即时识别,只是作为一个交易凭据存在。手写签名要做到可识别(1:1),需要手写设备和特征规范都提升到法律级别。
- 辅助设备
- 手机,消费者一般都手机不离身了,除了手机内置的app可以提供出认证信息之外,手机的wifi的mac和bt的mac同样可以充当这样的信息源。而mac是可以被修改的,因此,这些信息用于增强营销更合适。
- 可穿戴设备,成本低廉的产品其作用与手机类似,比如各种低端手环,而高级的设备则安全度高但推广力不足。要暴露出来用于身份认证,也需要手机等介质的支持。考虑到连接上大多数采用bt,因此bt的mac在一定程度上可供使用。
- 植入芯片,安全性足够,但成本高,推广不利。目前也尚未能让社会接受体内植入芯片。
- 个人信息
- 手机号
- email,这两者在在线浏览时使用较多,一般是用手机号或email来接收安全码,再进行输入。这种方式符合安全要求,可以进行额度较低的交易。
- 使用习惯
- 登录习惯
- 浏览顺序
- 屏幕操作特征
- 键入频率,这几种都跟在线浏览有关,但也适宜部分迁移到线下,如果线下提供特定的操作屏幕的话。但此类数据更多用于大数据分析后的营销动作,不适宜直接判断个体。
- 用户名和密码,这是最传统的一种方式。
用UL的总结来说,未来的身份认证过程,第一个就是要解耦,不要让身份认证过程耦合在用户/消费者交易过程中,最好就是透明化了;其次就是分等级,上述的身份认证各有侧重,安全级别也不尽然,要适当地组合以作覆盖性的方案;第三,身份认证功能需要模块化,以方便集成到不同的系统中去;最后,持续关注新的技术。
—
易观报告上所说的,用户标识包括各种身份强关联的特征:Cookie、IMEI、DeviceID、强关联标识
另外就是人口属性:用户自描述,这个估计需要额外自愿填写问卷。