行動バイオメトリクス–モバイルアプリのセキュリティの控えめなレイヤー

Giovanni Verhaeghe, 2018年2月27日

モバイルバンキングアプリとそれらを実行するデバイスは、サイバー犯罪者による侵害の危険にさらされています。新しい洗練された攻撃方法により、従来のユーザー名とパスワードのスキームは完全に廃止されました。ハッカーはユーザーをだましてパスコードを偽のユーザーインターフェイスに入力させる方法を見つけたので、より安全ですが基本的な2要素認証では不十分なようです。

主な課題は、使いやすさを損なうことなく、ハッカーを阻止するのに十分動的なセキュリティスキームを考案することでした。ユーザーの観点からは、強力なパスワードや一意のユーザー名などの新しい資格情報を常に追加しなければならないのは面倒であり、別のサービスプロバイダーに切り替える理由となる場合があります。また、たとえば、複数のプラットフォームで同じパスワードを使用したり、簡単に思い出せる簡単なパスワードを使用したりするなど、動作のショートカットを引き起こします。犯罪者が弱点を見つけて悪用しやすくなるため、それ自体がセキュリティを損ないます。ユーザーはデスクトップやラップトップよりもセキュリティに注意を払わない傾向があるため、モバイルデバイスは特に脆弱です。

L ayers建立、レイヤー崩壊

FinancialIT.netで述べたように、新しく追加されたセキュリティレイヤーは、バグのある実装や、モバイルデバイスとそのオペレーティングシステムの固有の弱点によっても侵害されます。サイバー犯罪者は、これらの脆弱性を悪用する新しい方法を見つけるために常に取り組んでいます。ハッキングが成功するたびに、開発者は既存のセキュリティ層を改善するか、全体的な複雑さに寄与する新しい層を追加する必要があります。サイバー犯罪者が狙っているのはテクノロジーだけではありません。彼らはユーザーの知識の欠如を悪用しようとしています。ユーザーに偽のログイン画面が表示される、単なる画像オーバーレイマルウェア。たとえば、マルウェアが標的のアカウント番号をこっそり変更している間に、顧客は資格情報とSMSから送信された認証コードを入力します。

これらの理由から、金融機関はアプリにさらに慎重なセキュリティを追加しています。これは、ユーザビリティを妨げないセキュリティです。たとえば、ユーザーがモバイルバンキングアプリにログインする時間と場所を考慮に入れることで、銀行は不審なログイン試行を迅速に検出できます。誰かが深夜に世界の途中から大規模な取引を行おうとすると、通常は何かが正しくありません。追加の検証が行われるまでトランザクションをブロックすることが最善の方法です。しかし、金融機関は、時間と場所の他に、より多くの行動要素をミックスに追加できます。例には、スマートフォンのタッチスクリーンをタップまたはスワイプするときの指の圧力、またはタイピング速度が含まれます。何かがオフになっている場合は、デバイスが盗まれたか、ユーザーが知らないうちに実際の銀行アプリの代わりにサイバー犯罪者が設置したオーバーレイを使用している可能性があります。

Missing メディアアイテム.

追加要素としての動作

このタイプのセキュリティは、行動バイオメトリクスセキュリティソリューションの追加レイヤーとして追加できます。ユーザーが一定期間デバイスを通常使用する方法をキャプチャすることにより、行動バイオメトリクスアルゴリズムは一種の「指紋」を定義できます。ユーザーのアクションがそのフィンガープリントと一致する場合、それらが正当である可能性が高く、ユーザーエクスペリエンスを妨害したり、場合によっては妥協したりする必要はありません。ただし、動作の突然の変化は、疑わしい何かを示している可能性があります。その後、銀行は介入して追加の確認を要求できます。

FinancialIT.netで述べたように、行動バイオメトリクスはトランザクションを検証する目立たない方法であるため、セキュリティの負担はユーザーから離れます。追加のアクションを要求しないため、ユーザーは通常、レイヤーに気付かないでしょう。つまり、ユーザーの認証に費やされる時間が最小限に抑えられるため、ユーザーは実際のアプリケーションの使用により多くの時間を費やすことになります。その間、セッションはユーザーが期待するレベルに保護されます。

行動バイオメトリクスは、誤検知の発生を最小限に抑えながら詐欺を減らします。また、指紋、虹彩スキャン、声紋のデータベースなどの従来の生体認証のように、ユーザーのプライバシーにほとんど侵入しません。ユーザーの行動パターンは、個人データを探している犯罪者には役に立たない数式として保存されます。

行動バイオメトリクスは、トランザクションごとにセキュリティを提供します。1つの道だけを確保するわけではありません。これは、悪用される単一の弱点がないため、犯罪者が克服することを非常に困難にします。同時に、ユーザーは追加のセキュリティレイヤーが通常もたらす不快感に悩まされることはありません。

生体認証の詳細については、以下をダウンロードしてください。

振る舞い認証/行動認証:セキュリティとカスタマーエクスペリエンスの向上

VASCOの市場および製品戦略担当ディレクターであるGiovanni Verhaegheが執筆した次の記事は、2018年2月4日に最初に掲載されました。 Financial IT.netブログ

Giovanni Verhaegheは、OneSpanの企業開発およびハードウェア運用担当副社長です。彼は2000年に入社し、会社の大幅な成長を促進するために尽力しました。GiovanniはOneSpanの製品および製品管理のディレクターを務め、最近では企業戦略およびIPRのディレクターも務めています。彼はケンブリッジとブリュッセルにOneSpanのイノベーションセンターを設立しました。OneSpanに入社する前は、安全、セキュリティ、品質管理を専門とする会社であるVinçotteのITマネージャーでした。ジョヴァンニはハウスト(ブルージュ/カーディフUK)で応用情報学の学士号を取得しており、フレリックビジネススクールで高度管理プログラムを修了しています。