随着VR/AR的普及，VR/AR购物及支付也应运而生，诈骗犯也将会留意到这块肥肉，那么消费者需要主要哪些问题呢?

　　Seth Ruden，美国注册舞弊审查师（CFE）、反洗钱专家，自2004年以来一直与各大银行及其监察部门合作，侦破解决金融犯罪。他还在美国以外地区的法律执法机构、监管机构、金融服务机构担任高管和分析师等职位，范围包括亚洲、中东和北美和南美洲。

　　问：虚拟现实（VR）和增强现实（AR）认证在支付中是如何实现的？

　　答：随着VR和AR技术跨越了从创新到成熟的门槛，它们有可能改变客户体验、甚至是更广泛的零售行业。

　　值得注意的是，VR和AR是实现更广泛的支付认证方式的主要机制，可以在不断轮换中混淆诈骗犯。例如，终端用户可能更期待扫描视网膜确认身份和支付的有效性，而不是以声纹或手势确认身份。

　　对于那些因为检测到异常而被提示的认证方式，“自适应认证”这个概念尤其适用，例如高调或高风险的交易，应该添加新的人口元素、电子邮件或电话号码等详细信息。

　　问：传统身份验证机制（如密码）背后有哪些驱动因素？

　　答：为什么用户名和密码组合的安全性较弱？有几个原因。

　　很多用户习惯在不同站点使用相同密码，舞弊犯罪者很清楚这一点。在数据泄露中，攻击者首先尝试进行帐户侵权，在其档案中使用受到破坏的已知密码。犯罪者已经发现，这个方法屡试不爽。

　　在许多情况下，如果站点允许，密码可以被黑客工具“暴力破坏”。此外，有些密码安全性很弱，并不难猜到。

　　密码是最弱的认证机制之一，所以这种认证技术正在衰落并不奇怪。

　　问：对于消费者和游戏公司来说，哪些技术可以保护通过AR和VR设备传输的私人数据？

　　答：目前有三种类型的交易控制，游戏服务提供商应该亲自评估这三种方式的安全性。因为游戏行业已经成为过去十年诈骗犯最钟爱的目标。“游戏内购买”的交易方式只是加强了这一趋势。

　　“点对点”加密使用硬件、软件和流程的组合，对在初始交互点和目的地之间传输的信用卡数据进行编码，将明文信息转换为不可读形式的密文，它使用了一种算法，阻止未授权方不使用加密钥匙进行解密。任何接受、传送或存储持卡人信息的组织或商家必须符合《支付卡行业数据安全标准》。新的保序、格式保留和可搜索加密方案的数据结构使企业更容易保护敏感信息，而不会损害终端用户的应用程序功能。

　　标记化是另一种有效的数据加扰技术，结合或代替加密技术，保护“端到端”过程。这在Apple Pay和Samsung Pay等手机钱包中很常见。该过程通过将其替换为非敏感数据（称为“令牌”）来掩蔽含有敏感信息的纯文本。该随机值没有可辨别的含义，将信息转换回正常状态的映射字符串通常存储在单独的位置。要实现数据交换需要直接访问映射令牌库。与加密技术不同，诈骗犯无法将令牌化后的数据“转换”为专有数据。随着企业数据开始转移到云存储技术，加密和标记化技术同时使用的情况越来越多。

　　3DSecure是接受无卡支付的商业信用卡发行商和电商商家的认证标准。3DSecure在购买时提示持卡者一次性PIN或密码，防范非法交易纠纷中的欺诈风险，它能同时保障持卡人、商户和系统运营商的利益。

　　问：选择第三方协助AR和VR结合时，金融机构和其他企业应考虑哪些标准？

　　答：应该适度评估若干标准，包括但不限于以下几点：

　　1.存储中的生物识别位置。标识符或识别技术有多容易受到第三方的威胁？

　　2.能够以快捷的方式更改身份验证方式。基于不同变量，如位置、时间和使用频率，认证机制从指纹到视网膜扫描的转换需要多长时间？

　　3.认证方式的生命周期也很重要。因为损坏或性能下降被淘汰之前，认证方式应该能使用多长时间？

　　问：作为支付认证方式，AR / VR技术引入到娱乐行业（如在线游戏）中将如何产生更多业务？

　　答：任何减少客户认证体验阻力的事物都是值得鼓励的。这是交易中最关键的因素，高阻力的接入点更容易打断消费者在游戏或购物中的体验。

　　VR和AR可能起源于游戏，但是随着开发人员面临越来越多的消费主义时代的独特经验，每一天都会出现新的用例，他们越来越需要掌握新技术。强大的双因素身份验证即将成为新常态。作为这个演进过程的一部分，“你是谁”将只是一个组件，第二个因素就是我之前提到的，例如密码，PIN或一次性代码。优先安全性是提高转换率并保持低影响认证流程的一种方法。

　　问：金融机构和商业IT部门引入VR有哪些要求和挑战？

　　答：虽然VR和AR提供了增强和保护客户参与体验的机会，但是其用途的范围还没有一个完整的定义。要鼓励人们投资VR和AR，使这两项技术作为支付认证，与公司其他业务结合，还有很多工作要做。这是我们所处的早期阶段，仅仅说明了发展挑战中的一个方面。

　　VR和AR技术吸引大量新信息的能力也存在重大挑战，这就需要新硬件进入市场，在供应商之间普及，以及引入软件开发工具包（SDK）来指导软件与硬件相对应，并让应用程序编程接口（API）连接到应用程序。活跃的供应商数量有限，而需求却不断扩大，这是我们未来需要考虑的事情。

　　我们仍然处于这项技术的理论和原型推出阶段。虽然上述考虑的问题在前方还有一些障碍，但我们相信，随着时间的推移，作为交易认证方式的AR和VR将加速步伐，尽快面世。