Starke Kundenauthentifizierung: Warum sollten adaptive Methoden und Tools in Betracht gezogen werden?

Frederik Mennes, 13. November 2018

Die Einhaltung der überarbeiteten Zahlungsdiensterichtlinie (PSD2) hat für Finanzinstitute in Europa und darüber hinaus derzeit höchste Priorität. Insbesondere müssen Finanzinstitute die Anforderungen in Bezug auf eine starke Kundenauthentifizierung und eine Transaktionsrisikoanalyse erfüllen. Diese Anforderungen sind in den regulatorischen technischen Standards (RTS) für starke Kundenauthentifizierung (SCA) und gemeinsame und sichere Kommunikation (CSC) aufgeführt. Finanzinstitute müssen diese bis spätestens 14. September 2019 einhalten. Einige der wichtigsten Anforderungen werden sechs Monate zuvor in Kraft treten.

In diesem Blog geben wir einen Überblick über die wichtigsten Authentifizierungsanforderungen im RTS und wie Sie diese ordnungsgemäß einhalten können.

PSD2: Starke Kundenauthentifizierung und Transaktionsrisikoanalyse

Die wichtigsten Authentifizierungsanforderungen im RTS unter PSD2 sind:

  • Zwei-Faktor-Authentifizierung :: FIs, die als Zahlungsdienstleister fungieren, müssen Benutzer anhand eines Authentifizierungsmechanismus authentifizieren, der zwei von drei möglichen Authentifizierungselementen verwendet:

    Ferner müssen die Authentifizierungselemente voneinander unabhängig sein. Der Authentifizierungsmechanismus muss einen Authentifizierungscode generieren, der nur einmal gültig ist (und in der Praxis für einen begrenzten Zeitraum).

    • Besitz (dh etwas, das nur der Benutzer hat)
    • Wissen (dh etwas, das nur der Benutzer weiß)
    • Inhärenz (dh etwas, das nur der Benutzer ist)
  • Dynamische Verknüpfung :: Dynamische Verknüpfung wird üblicherweise auch als Signieren von Transaktionsdaten oder Transaktionsauthentifizierung bezeichnet. Die Gesetzgeber, die entwarfen PSD2 Die dynamische Verlinkung wurde eingeführt, um Man-in-the-Middle-Angriffen entgegenzuwirken, bei denen ein schlechter Akteur die Details einer Transaktion ändert, nachdem der Zahler sie authentifiziert hat. Die Anforderung an die dynamische Verlinkung besteht aus drei Teilen. Erstens muss ein Zahler eine Finanztransaktion authentifizieren, indem er einen Authentifizierungscode für bestimmte Transaktionsdaten berechnet (mindestens den Betrag und einige Informationen, die den Begünstigten identifizieren), damit der Authentifizierungscode mit der Transaktion verknüpft wird. Zweitens sollten die Vertraulichkeit und Integrität der Transaktionsdaten während des gesamten Authentifizierungsprozesses geschützt (dh verschlüsselt) werden. Drittens sollte der Online-Banking-Benutzer über die von ihm authentifizierten Transaktionsdaten informiert sein.
  • Unabhängigkeit von Authentifizierungselementen: Diese Anforderung konzentriert sich in erster Linie auf die Sicherheit mobiler Apps . Die strengen Anforderungen an die Kundenauthentifizierung ermöglichen die Verwendung mobiler Apps als benutzerfreundlichen Besitzfaktor. Wenn der Authentifizierungsmechanismus auf Geräten wie Mobiltelefonen oder Tablets beruht, müssen FIs Sicherheitsmaßnahmen ergreifen, um das Risiko zu verringern, dass die mobile App in einer nicht vertrauenswürdigen Ausführungsumgebung (dh Gerät und Betriebssystem) ausgeführt wird, in der sie möglicherweise Overlay-Angriffen ausgesetzt ist. Code-Injection und andere Bedrohungen.
  • Transaktionsrisikoanalyse: Banken müssen Transaktionen durchführen Risikoanalyse um betrügerische Zahlungen zu verhindern, aufzudecken und zu blockieren. Die Transaktionsrisikoanalyse sollte auf Elementen wie dem Zahlungsbetrag, bekannten Betrugsszenarien, Anzeichen einer Schadsoftware-Infektion in der Zahlungssitzung usw. basieren. Die Verordnung sieht vor, dass risikoarme Zahlungen von der starken Kundenauthentifizierung freigestellt werden können. Dies bedeutet jedoch, dass die Transaktionsrisikoanalyse zusätzliche Elemente wie Zahlungsmuster, Verhaltensanalyse, Ort des Zahlers und des Zahlungsempfängers, Informationen zu dem zur Ausführung der Zahlung verwendeten Gerät und sogar die Möglichkeit umfasst, Daten von mehreren Kanälen wie mobil, online zu sammeln , Geldautomat und Filiale.

Von der Standalone-Authentifizierung zur adaptiven Authentifizierung

Bei der Bewertung und Implementierung von Lösungen zur Einhaltung der Anforderungen für eine starke Kundenauthentifizierung sollten die Finanzinstitute adaptive Methoden und Tools berücksichtigen. Die adaptive Authentifizierung ist kein Authentifizierungsfaktor wie ein neues Einmal-Token oder eine Authentifizierungsanwendung. Es ist ein Arbeitsablauf Dabei werden die Aktivitäten, die Umgebung und das Verhalten eines Benutzers kontinuierlich analysiert, um das genaue Sicherheitsniveau zum richtigen Zeitpunkt für jede einzelne Transaktion zu bestimmen.

Die adaptive Authentifizierung unterscheidet sich von eigenständigen Authentifizierungstools durch die Verwendung spezialisierter Authentifizierungsmethoden, die auf einer Echtzeit-Risikoanalyse basieren. Anstatt ein vom Benutzer initiiertes Ereignis wie die Eingabe einer PIN oder eines Kennworts zu erzwingen, muss ein Benutzer möglicherweise eine Reihe von Authentifizierungsprüfungen durchlaufen, um Zugriff auf bestimmte Dienste für riskantere Interaktionen zu erhalten - oder überhaupt keine zusätzlichen Prüfungen für Transaktionen mit geringem Risiko (zB Überprüfung Ihres Kontostands).

Dies wird auch als erhöhte Authentifizierung bezeichnet. Mit der Risikobewertung als Richtlinie werden die Authentifizierungsschritte dynamisch in Echtzeit auf die Transaktion angewendet, und der Benutzer muss möglicherweise Maßnahmen ergreifen. Wenn sich die Transaktion beispielsweise innerhalb des normalen Verhaltensmusters des Benutzers befindet, ist keine erhöhte Authentifizierung erforderlich. Eine bestimmte Risikobewertung kann jedoch zu einer Anforderung eines Einmalkennworts (OTP) führen, während eine höhere Risikobewertung den Benutzer sowohl zu einem OTP- als auch zu einem Fingerabdruck-Scan auffordern kann (z. B. zur Überweisung von 10.000 US-Dollar auf ein ausländisches Bankkonto) ).

Durch den Einsatz von Risikoanalysen, die auf maschinellem Lernen und künstlicher Intelligenz basieren, und in Kombination mit der oben beschriebenen Authentifizierungsorchestrierung fällt eine adaptive Authentifizierungslösung in eine Lösungskategorie namens Intelligent Adaptive Authentifizierung . Mit dieser Art von Lösung können Finanzinstitute die Endbenutzererfahrung vereinfachen, Betrug reduzieren und die Einhaltung der Vorschriften gewährleisten. Dies gilt für mehrere digitale Bankkanäle, einschließlich Web, Mobile usw.

Adaptive Authentifizierung: Überlegene Benutzererfahrung und Wachstum durch intelligente Sicherheit
WEISSES PAPIER

Adaptive Authentifizierung: Überlegene Benutzererfahrung und Wachstum durch intelligente Sicherheit

Laden Sie dieses Dokument herunter und erreichen Sie die beiden Ziele, Betrug zu reduzieren und den Kunden zu begeistern.

Jetzt herunterladen

Adaptive Authentifizierung und starke Kundenauthentifizierung

FIs stehen vor großen Herausforderungen, um Betrug auch mit den fortschrittlichsten Sicherheitstechnologien zu stoppen. Komplexität, inkonsistente Benutzererfahrungen, schwer zu erfüllende Compliance-Anforderungen, mehrere Sprachen und Benutzeroberflächen verbergen Sicherheitslücken und sorgen dafür, dass Unternehmensmanager nachts auf dem Laufenden bleiben. Die Herausforderung besteht darin, Authentifizierungs-Workflows zu vereinfachen, um die Sicherheit zu erhöhen, die Compliance zu verbessern und die bestmögliche Benutzererfahrung über mehrere Kanäle hinweg zu erzielen.

Intelligente adaptive Authentifizierung hilft Finanzinstituten, diese Ziele zu erreichen, und erfüllt gleichzeitig die strengen Kundenauthentifizierungsanforderungen von PSD2. Hier ist wie:

  • Risikobasierte Authentifizierung: Mit der intelligenten adaptiven Authentifizierung können FIs ein breites Portfolio an Authentifizierungselementen unterstützen. Dies können Besitzelemente (z. B. mobile Apps, Hardware-Token usw.), biometrische Faktoren (z. B. Fingerabdruck, Gesicht) und Wissenselemente (z. B. PIN). Darüber hinaus sollte eine intelligente adaptive Authentifizierungslösung auch strenge Authentifizierungsstandards unterstützen, z FIDO .
  • Dynamische Verlinkung: Obwohl viele adaptive Authentifizierungslösungen nach denselben Grundsätzen arbeiten, gibt es auf dem Markt eine große Vielfalt in Bezug auf die Integration der wichtigsten Sicherheitstechnologien. Bei intelligenten adaptiven Authentifizierungslösungen, die dynamische Verlinkungen unterstützen, muss sichergestellt werden, dass beide kompatibel sind und bequem für Endbenutzer . Eine der am weitesten verbreiteten Möglichkeiten, dies zu tun, sind Farbkryptogramme, die als Cronto-Codes bekannt sind. Wenn die Bank dem Benutzer Transaktions- oder Zahlungsdaten zur Überprüfung und Autorisierung sendet, werden diese Daten im Cronto-Kryptogramm verschlüsselt. Der Benutzer entschlüsselt die Daten, indem er das Kryptogramm mit seinem Smartphone (oder Hardwaregerät) scannt. Falls auf dem Computer des Benutzers Trojaner-Schadsoftware vorhanden ist, können die Daten im visuellen Code nicht geändert werden. Dieser Ansatz ermöglicht es den FIs, alle drei Anforderungen an die dynamische Verlinkung von PSD2 vollständig zu erfüllen.
  • Unabhängigkeit von Authentifizierungselementen: Intelligente adaptive Authentifizierung bietet FIs einen umfassenden Einblick in mobile Geräte und die darauf ausgeführten Bank-Apps. Es nutzt umfangreiche Benutzer-, Geräte- und App-Daten, die über eine Risikoanalyse ein sehr genaues Vertrauensmaß liefern. Intelligente adaptive Authentifizierung integriert Funktionen wie Abschirmung mobiler Apps Erstellen einer sicheren Ausführungsumgebung für Mobile-Banking-Apps, damit diese sicher auf nicht vertrauenswürdigen Mobilgeräten ausgeführt werden können. Dies umfasst die Verwendung separater sicherer Ausführungsumgebungen sowie Maßnahmen zum Schutz mobiler Apps vor Laufzeitbedrohungen wie Rooting oder Jailbreaking, Overlay-Angriffen, Code-Injection und Keylogging.

  • Transaktionsrisikoanalyse :: Die Risikobewertung der Benutzerumgebung und der Finanztransaktionen ist das Herzstück einer intelligenten adaptiven Authentifizierungslösung. Intelligente adaptive Authentifizierung sammelt Kontextinformationen aus mehreren Quellen (z. B. dem Mobilgerät des Benutzers, dem Laptop) sowie Verhaltensanalysen (z. B. wer, was, wann und wo) und korreliert diese mit dem Verlauf des Benutzers, um neu auftretende und bekannte Betrugsmuster zu erkennen und zu bewerten das Risiko einer Transaktion. Die Lösung wendet dann das genaue Sicherheitsniveau für jede einzelne Finanztransaktion an.

Weitere Informationen zu PSD2 und zur Einhaltung der Anforderungen für eine starke Kundenauthentifizierung finden Sie unter www.OneSpan.com/psd2 .

Frederik leitet das Sicherheitskompetenzzentrum von OneSpan, wo er für die Sicherheitsaspekte der Produkte und der Infrastruktur von OneSpan verantwortlich ist. Er verfügt über fundierte Kenntnisse in den Bereichen Authentifizierung, Identitätsmanagement, Regulierungs- und Sicherheitstechnologien