Was ist kontinuierliche Authentifizierung?
Kontinuierliche Authentifizierung ist eine Methode zur Bestätigung der Identität eines Kunden in Echtzeit, während er Bankgeschäfte tätigt. Typischerweise geschieht dies, wenn ein Kunde sein Mobiltelefon oder seinen Desktop benutzt, oder einen Geldautomaten, oder wenn er in einer Filiale ist. Es umfasst ihre Banking-Sitzung von Anfang bis Ende oder von der Anmeldung bis zur Abmeldung. Die kontinuierliche Authentifizierung beruht auf kontinuierlichen Daten, die von einer Risiko-Engine verarbeitet werden, die während der gesamten Sitzung die entsprechende Authentifizierungsstufe anwendet. Dies ermöglicht es einem Finanzinstitut, kontinuierlich zu bestätigen, dass es sich bei dem rechtmäßigen Kontoinhaber tatsächlich um die Person handelt, die Transaktionen auf dem Konto durchführt - und nicht um einen Betrüger. Die kontinuierliche Authentifizierung erfolgt bei allen Ereignissen, wie z. B. der Überprüfung des Kontostandes, der Durchführung einer Überweisung oder dem Hinzufügen eines Zahlungsempfängers, während der Kunde seine Banksitzung durchläuft.
Bei der kontinuierlichen Authentifizierung werden mehrere Datenströme verwendet, damit die Risiko-Engine in der Lage ist, die eindeutigen Bewegungen und Muster eines Kunden während seiner Banksitzung zu bewerten und zu erkennen. Der Kunde bemerkt nicht, dass sein Standort, sein Gerät, seine Umgebung, seine Tastaturkadenz und mehr mit einem Profil verglichen werden, wie er normalerweise mit seinem Telefon und seiner Bankanwendung als Teil seiner Benutzererfahrung interagiert.
Die kontinuierliche Authentifizierung ermöglicht es auch einer Risiko-Engine, die das Herzstück eines Betrugspräventionssystems ist, alle Daten in Bezug auf die Banksitzung, den Kunden und sein Gerät zu überwachen und zu analysieren, um die Wahrscheinlichkeit eines Betrugs zu bestimmen. Die Risiko-Engine weist jeder Aktion, die während der Bankensitzung stattfindet, kontinuierlich und in Echtzeit einen Risikoscore zu.
Bei der kontinuierlichen Authentifizierung wird das Verhalten des Kunden ohne seine direkte Beteiligung kontinuierlich bewertet, bis das Verhalten von seiner normalen Aktivität abweicht, was zu einer zusätzlichen Sicherheitsebene führt. Das genaue Sicherheitsniveau wird zum richtigen Zeitpunkt angewendet und kann dazu führen, dass der Kunde nichts von der Sicherheit merkt, die im Hintergrund in seinem Namen durchgeführt wird. Sie ermöglicht es Finanzinstituten aber auch, die Reibungsverluste bei legitimen Bankgeschäften zu reduzieren, indem sie den Authentifizierungsaufwand für echte Interaktionen verringert und so dem Kunden ein reibungsloses Erlebnis bietet.
So funktioniert die kontinuierliche Authentifizierung
Banken und andere Finanzinstitute können die kontinuierliche Authentifizierung als Teil ihrer Strategie zur Betrugsbekämpfung nutzen. Daten können aus vielen verschiedenen Komponenten der Sitzung eines Kunden mit seiner Bank gesammelt werden und können alles sein, von der Art und Weise, wie sie mit ihren mobilen Geräten interagieren, wie zum Beispiel Wischmuster und Tastendynamik, bis hin zu ihrem Standort. Es kann sich sogar um Dinge handeln, wie z. B. was sonst noch im Gerät passiert, während der Kunde es benutzt. All diese Informationen helfen dabei, ein Datenprofil des Benutzers zu erstellen. Die Betrugsrisikoanalyse kann dann jede Abweichung von diesem Muster leicht erkennen und entsprechend reagieren.
Die kontinuierliche Authentifizierung erhöht nicht die Zeit, die der Kunde mit der Authentifizierung verbringt, sofern sein Verhaltensmuster nicht von seinem gewohnten Muster abweicht. Wenn dies der Fall ist, fordert das Anti-Betrugs-System den Benutzer mit einer Step-up-Authentifizierung heraus. Wie bereits erwähnt, unterbricht der Authentifizierungsmechanismus den Kunden nach dem Einloggen nicht, es sei denn, es ist notwendig.
Bei der kontinuierlichen Authentifizierung arbeiten die Datenprofile mit der Risiko-Engine des Finanzinstituts zusammen, um den genauesten Risiko-Score zu liefern, der bei der Betrugserkennung hilft. Dies ermöglicht es Finanzinstituten, Authentifizierungsanforderungen zu bestimmen und anzuwenden, die dem relativen Risiko der stattfindenden Transaktion entsprechen. Eine fortschrittliche Regel-Engine filtert betrügerische Ereignisse heraus, die bestimmte Kriterien erfüllen, aber sie kann mit der Komplexität von Betrugsangriffen nicht mithalten. In Kombination können maschinelles Lernen und ein regelbasiertes System einen großen Angriffsraum abdecken. Kontinuierliche Authentifizierungstechnologie kann den Moment erkennen, in dem die Sicherheit erhöht oder eine Transaktion gestoppt werden muss, um Betrug auf der Grundlage einer Echtzeit-Risikobewertung zu verhindern.
Es gibt viele Arten von Datenquellen, die die Bankanwendung (mobil, Desktop, Geldautomat oder Filiale) der Risiko-Engine zur Verfügung stellen kann. Ein Beispiel ist die Verhaltensbiometrie, deren Funktionsumfang sehr breit definiert ist. Verhaltensbiometrische Daten können Benutzerinteraktionen innerhalb einer mobilen Anwendung sein, wie z. B. die Art, wie Sie das Telefon halten, oder Ihre Wischmuster. Es kann aber auch das Nutzerverhalten sein und wie der Kunde mit der Bank interagiert, z. B. die Tageszeit oder der Ort, an dem er sich befindet. Verhaltensbiometrische Daten tragen zur Erstellung eines Kundendatenprofils bei, das von der Risk Engine verwendet wird.
Blog
Behavioral Biometrics – A Discreet Layer of Security for Mobile Apps
Mobile banking apps and the devices they run on are increasingly at risk for compromise by cybercriminals. New, sophisticated methods of attack have rendered the classic username-password scheme outright obsolete.
Read the BlogDie kontinuierliche Authentifizierung kann verschiedene Arten von Verhaltensbiometrie verwenden
Verhaltensbiometrie arbeitet hinter den Kulissen und beobachtet, wie sich ein Kunde mit seinem Gerät verhält, um sein einzigartiges Verhaltensmuster zu identifizieren und ihn während seiner Bankensitzung kontinuierlich zu authentifizieren, um sicherzustellen, dass er der rechtmäßige Benutzer ist. Die verhaltensbiometrische Authentifizierung vergleicht das aktuelle Verhalten eines Kunden mit dem in seinem Profil gespeicherten früheren Verhalten. Je größer die Ähnlichkeit zwischen dem Profil und dem aktuellen Verhaltensmuster ist, desto weniger muss sich eine Bank Gedanken über die Identität und die Absichten dieser Personen machen.
Im Falle einer unbekannten Person, die aus der Ferne ein neues Bankkonto beantragt, kann eine verhaltensbiometrische Sicherheitslösung auch ihr Verhalten mit dem vergleichen, was für eine breitere Bevölkerung typisch ist, was zu einem Ergebnis führt, das die Wahrscheinlichkeit bewertet, dass die Person, die die Aktionen durchführt, kein Bot oder Computerprogramm ist, das sich unberechtigten Zugang verschafft. Bei der Verhaltensbiometrie hilft das Verhalten einer Person mit ihrem Gerät bei der Bestimmung des erforderlichen Authentifizierungsniveaus auf der Grundlage des Risikograds.
Arten der Verhaltensbiometrie, die für die kontinuierliche Authentifizierung verwendet werden:
- Wie Sie Ihr Telefon halten: Die dominante Hand, mit der Sie telefonieren, und der Winkel, in dem Sie Ihr Telefon halten, werden mit verhaltensbiometrischen Daten analysiert.
- Die Art und Weise, wie Sie tippen und wie schnell Sie tippen, bestimmt Ihren Tastenanschlag-Rhythmus.
- Die Stärke des Fingerdrucks, die Sie beim Tippen verwenden, kann in ein erkennbares Muster gebracht werden, was dazu beitragen kann, Identitätsdiebstahl zu verhindern und das Risiko von Online-Betrug zu verringern.
- Wisch- oder Bildlaufmuster betrachten, ob Sie auf dem Touchscreen Ihres Geräts nach rechts oder links wischen und wie Sie auf Ihrem Gerät nach oben oder unten blättern.
- Ihr Gang, oder wie Sie gehen, ist auch ein Verhaltensmerkmal, das auf ein Muster untersucht werden kann.
Wie kontinuierliche Authentifizierung hilft, Betrug zu verhindern
Kontinuierliche Authentifizierungen können Anomalien im etablierten Muster des Benutzerverhaltens eines Kunden mit seinem Gerät und seiner Bank erkennen. Darüber hinaus kann die Verhaltensbiometrie Malware erkennen, z. B. Bots, die die Tastenanschläge einer Person erfassen können, um deren Bankdaten preiszugeben, da sich die Bewegungen des Bots von den Tastenanschlägen einer Person unterscheiden würden.
Wenn verdächtiges Verhalten erkannt wird, können Finanzinstitute eine zusätzliche Authentifizierung des Benutzers anfordern, um den Login-Zugang oder die stattfindenden Banktransaktionen in Frage zu stellen. Wenn der Benutzer die Sicherheitshürde nehmen und sich authentifizieren kann, kann er fortfahren. Wenn sie das nicht können, wird der Vorgang gestoppt und der Betrug verhindert.
Die Bedrohungslandschaft verändert sich ständig. Die Zahl der Angriffe und Datenschutzverletzungen nimmt zu, was eine Herausforderung für die Cybersicherheit darstellt und Betrügern viele Möglichkeiten bietet. Mit kontinuierlicher Authentifizierung haben Finanzinstitute die Möglichkeit, ihre Anfälligkeit für viele Angriffsvektoren und Cybersecurity-Bedrohungen zu verringern.
Als Folge von COVID-19 ist ein starker Anstieg von Betrugsattacken zu verzeichnen. Laut Aite Group sagt ein großer Finanzdienstleister, dass sein Finanzdienstleister zuvor einen Rückgang des Betrugs um 8 % im Jahr 2020 prognostiziert hatte und diese Prognose nun auf einen Anstieg des Betrugs um 10 % bis 15 % revidiert hat, und er sagt, dass die meisten anderen Banken dasselbe getan haben." Kontinuierliche Authentifizierung hilft, Betrug zu reduzieren, da sie weit über die Überprüfung der Identität eines Kunden beim Login oder bei einer Transaktion hinausgeht. Es ist wichtig anzumerken, dass verhaltensbiometrische Daten für Betrüger derzeit nur schwer zu überlisten sind, da sie basierend auf dem Verhalten kontinuierlich Signale über die Authentizität des Kunden liefern.
Weißes Papier
Adaptive Authentifizierung | Wachstum durch intelligente Sicherheit
Laden Sie dieses Whitepaper herunter, um das Kundenerlebnis zu verbessern, Betrug zu reduzieren und Wachstum zu erzielen.
Whitepaper abrufen
Hinter den Kulissen der kontinuierlichen Authentifizierung: Die Rolle von maschinellem Lernen und Betrugsregeln
Algorithmen für maschinelles Lernen können sehr große Mengen an Transaktionsdaten analysieren, deren Überprüfung für Analysten schwierig und zeitaufwändig wäre. Die Algorithmen berücksichtigen den Standort des Kunden, das Gerät, das Netzwerk und andere Daten. All diese Daten erstellen ein detailliertes Porträt jeder Transaktion und markieren verdächtige Transaktionen eines Angreifers oder eines Bots in Echtzeit auf der Grundlage von Risikoscores, die sehr genau sind. Je nach Risiko-Score kann bei Bedarf eine sofortige Authentifizierungsherausforderung auf Basis von Verhaltensmustern präsentiert werden. Ein Kunde könnte z. B. aufgefordert werden, ein Einmalpasswort (OTP) einzugeben, das von seinem Authentifizierungsgerät generiert oder per Push-Benachrichtigung übermittelt wird. Oder, wenn die Risikostufe sehr hoch ist, könnte der Kunde um einen Gesichtsscan zur Benutzerauthentifizierung gebeten werden. Wenn sie sich nicht erfolgreich authentifizieren können, wird die Bankinteraktion oder Transaktion abgebrochen.
Zusätzlich kann eine Risikobewertung auch die Historie der Sicherheitsvorfälle des Benutzers, die Anzahl der Anmeldungen und die Sensibilität der Daten, auf die zugegriffen werden soll, berücksichtigen. Der Grund dafür, dass ein Authentifizierungs-Score auf einer Kombination aus vielen kontextbezogenen und anderen Datenpunkten basiert, ist, dass ein Datenpunkt allein von einem Angreifer geschlagen werden kann und wird. Viele Zugriffsanfragen liegen jedoch unterhalb der definierten Risikoschwellen und erfordern keine zusätzliche Authentifizierung.
Das maschinelle Lernen wird sich beispielsweise auch die Datenelemente des Geräts eines Kunden ansehen und prüfen, wie das Gerät genutzt wird, wie alt es ist, ob es sich um ein gemeinsam genutztes Gerät handelt, welche biometrischen Methoden und Authentifizierungsmethoden für dieses Gerät abonniert sind und vieles mehr. Es kann auch menschliche Voreingenommenheit und Alarmmüdigkeit reduzieren, indem es nur sehr ungewöhnliche Ereignisse und Transaktionen einem Betrugsexperten vorlegt. Eine Transaktion mit geringem Risiko (z. B. eine Saldoüberprüfung von einem bekannten Gerät) würde keine zusätzliche Validierung erfordern, und Transaktionen mit höherem Risiko (z. B. eine große Überweisung von einem jailbroken Gerät an einem neuen Standort) würden zusätzliche Authentifizierungsschritte auslösen. Ein jailbroken Gerät ist ein Telefon, das so modifiziert wurde, dass Änderungen daran vorgenommen werden können, die von der Software in ihrem Standardzustand nicht unterstützt werden.
Während Algorithmen des maschinellen Lernens aufgrund ihrer Stärke bei der Erkennung von Anomalien aufkommende Angriffsszenarien erkennen können, kann ein Anti-Betrugssystem, das Betrugsregeln verwendet, nur bekannte Betrugsangriffe erkennen, zu denen ein Phishing-Angriff oder Credential Stuffing gehören könnte. Aus diesem Grund sind die Regelbibliotheken so umfangreich, denn sobald ein neuer Betrugsangriff identifiziert wird, wird eine Regel erstellt und hinzugefügt, was dazu führt, dass Hunderte oder sogar Tausende von einzelnen Regeln gepflegt werden müssen. Eine erweiterte Regel-Engine filtert jedoch betrügerische Ereignisse heraus, die bestimmte Kriterien erfüllen, und fängt Transaktionen mit Beträgen ab, die von einem normalen Szenario abweichen. Sie alarmiert das System, um die Authentifizierung zu verstärken, aber ein regelbasiertes System kann mit der Komplexität von Betrugsangriffen nicht mithalten. Und die Regelbibliotheken werden immer größer, was das System unter Druck setzt, den Betrieb verlangsamt und die Rate der Fehlalarme erhöht. Wenn jedoch ein regelbasiertes System mit maschinellem Lernen kombiniert wird, bieten beide zusammen starke Fähigkeiten zur Erkennung einer breiten Palette von Betrugsversuchen.
Wie kontinuierliche Authentifizierung das Kundenerlebnis verbessert
Die kontinuierliche Authentifizierung bleibt im Hintergrund, während der Kunde seine Bankgeschäfte erledigt, und erstellt ein kontinuierliches Risikoprofil für die Sitzung, das sich mit jeder Aktion des Kunden oder seines Geräts ändern kann. Dies ermöglicht es dem Finanzinstitut nicht nur, in Echtzeit Maßnahmen zu ergreifen, wenn Anomalien entdeckt werden, sondern auch, die Reibungsverluste bei legitimen Bankgeschäften zu reduzieren. Die Benutzererfahrung ist reibungslos, während gleichzeitig die Gefahr eines Angriffs verringert und die Benutzerfreundlichkeit verbessert wird.