Risicogebaseerde verificatie

Wat is risicogebaseerde authenticatie?

Risicogebaseerde authenticatie (RBA) helpt fraude te voorkomen door het risiconiveau voor elke financiële transactie te bepalen en te bepalen welk niveau van klantenauthenticatie voor elke transactie vereist is. RBA helpt accountovernamefraude en andere soorten online en mobiele fraudeaanvallen te voorkomen door de authenticatie af te stemmen op het betrokken risiconiveau. Traditionele technologieën voor identiteits- en toegangsbeheer volstaan niet langer gezien de voortdurend evoluerende bedreiging van het landschap en de regelmatige inbreuken op gegevens. Risicogebaseerde authenticatie wordt ook adaptieve authenticatie of stapsgewijze authenticatie genoemd.

In het verleden vertrouwden veel organisaties op één type authenticatie voor alle klanten en transacties: statische wachtwoorden en gebruikersnamen. Dit staat bekend als binaire authenticatie. Wachtwoorden en gebruikersnamen worden als een zwakke beveiliging beschouwd omdat zij voor fraudeurs zo gemakkelijk te stelen en te misbruiken zijn. Anderzijds is risicogebaseerde authenticatie een vorm van sterke authenticatie, omdat het de gebruiker en zijn transactie context geeft om het risiconiveau en de fraudegevoeligheid te bepalen. In geval van een transactie met een hoog risico wordt de gebruiker om extra authenticatie gevraagd om zijn identiteit te bevestigen.

De 3 factoren van authenticatie

Er zijn drie gemeenschappelijke factoren die voor authenticatie worden gebruikt:

  1. Iets wat je weet
  2. Iets wat je hebt
  3. Iets wat je bent

De meest gebruikelijke verificatie is iets wat u weet en kan een wachtwoord of een eenvoudig persoonlijk identificatienummer (PIN) zijn. Het is voor fraudeurs echter ook het gemakkelijkst te verslaan.

De factor "iets wat je hebt" verwijst naar zaken als een mobiel apparaat of hardware authenticator tokens, die een eenmalige eenmalige toegangscode voor eenmalig gebruik genereren. Hardware-authenticatie biedt authenticatie met twee factoren (2FA). Smartphone-gebaseerde opties, zoals een pushmelding en een eenmalig wachtwoord (OTP), zorgen ook voor een multifactoriële verificatie.

Biometrie is de factor "iets wat je bent" en kan bestaan uit vingerafdrukken, gezichtsscans of stemanalyse en maakt deel uit van een verschuiving naar logins zonder wachtwoord. Er zijn een aantal laptops en telefoons beschikbaar met vingerafdruksensoren, en ze zijn ook beschikbaar op USB flash drives.

De drie authenticatiefactoren worden vaak gecombineerd om een sterkere beveiliging te bieden en fraudeurs te dwarsbomen. De combinatie van een vingerafdrukscan met een eenmalige toegangscode versterkt de beveiliging en is een voorbeeld van multifactorauthenticatie (MFA).

The Forrester Wave™, Risk-Based Authentication, Q2 2020 Report
Analyst Report

The Forrester Wave™, Risk-Based Authentication, Q2 2020 Report

Download this new Forrester report for a deeper understanding of OneSpan’s Intelligent Adaptive Authentication solution and how it improves the customer experience, helps mitigate fraud, and meets key risk-based authentication (RBA) requirements.

Download Now


Het belang van risicogebaseerde authenticatie

Risicogebaseerde authenticatie kan helpen ongeoorloofde toegang tot rekeningen en diefstal van fondsen of persoonsgegevens te voorkomen. Het is een sleutelelement in de verbetering van de ervaring en de retentie van eindgebruikers, omdat het de digitale bankervaring gemakkelijker en veiliger maakt voor legitieme klanten - en moeilijker voor fraudeurs. Ongeoorloofde toegang tot klantgegevens vormt een bedreiging voor het merk, de reputatie en de concurrentiepositie van een financiële instelling.

Hoe risicogebaseerde authenticatie de wrijving voor klanten vermindert

Adaptieve verificatie vermindert de wrijving voor klanten en helpt accountovername en andere soorten fraudeaanvallen te voorkomen. Het maakt gebruik van beveiligingsmaatregelen die op de achtergrond gebeuren, in real time, terwijl de klant bezig is met zijn werk. RBA past het precieze beveiligingsniveau toe voor elke unieke interactie met de klant en vermijdt onnodige beveiligingsstappen voor transacties met een laag risico, die voor de gebruiker extra wrijving kunnen opleveren. Een goed voorbeeld is een legitieme klant die inlogt op het bankportaal met een bekend apparaat dat bij de bank is geregistreerd, en dezelfde browser gebruikt als hij gewoonlijk gebruikt. Zij verrichten een handeling met een laag risico, zoals het controleren van hun saldo of het doen van een kleine betaling. In dit geval bepaalt het systeem dat het frauderisico zo laag is dat zij zich niet opnieuw hoeven te verifiëren nadat zij hebben ingelogd. Alleen wanneer het gedrag van de gebruiker afwijkt van de normale activiteit, worden extra authenticatie-uitdagingen toegevoegd, wat resulteert in hogere veiligheidshindernissen voor riskantere transacties zoals een bankoverschrijving. De klant wordt gevraagd zich op de een of andere manier te authenticeren en als dat lukt, gaat hij verder met zijn werk.

blog icon
Blog

How Risk-based Authentication Cuts Fraud Losses and Improves Customer Satisfaction

Read More


Hoe risicogebaseerde authenticatie groei en loyaliteit kan stimuleren

Risicogebaseerde authenticatie is de sleutel tot het ontsluiten van groei en klantloyaliteit voor banken, omdat het de wrijving sterk vermindert om een betere klantervaring te bieden. Als onderdeel van de digitale transformatie van een bank vermindert het onnodige stappen voor identiteitsverificatie en past het de juiste hoeveelheid beveiliging toe op het juiste moment voor elke transactie op basis van het risiconiveau. Gebruikerservaring heeft een directe impact op klantenbinding. Uit studies is gebleken dat klanten die overal en op elk moment gemakkelijk contact kunnen opnemen met hun financiële instelling, minder geneigd zijn over te stappen. Tegelijkertijd kan het gebruik van risicogebaseerde authenticatie banken en andere financiële instellingen helpen hun fraudeverliezen te beperken.

Waarom risicogebaseerde authenticatie een essentieel beveiligingsinstrument is

Risicogebaseerde authenticatie is een essentieel beveiligingsinstrument omdat het in realtime cyberfraude helpt te voorkomen, zonder legitieme klanten te hinderen.

Terwijl het fraudepreventiesysteem de risicoscore van de transactie genereert, biedt risicogebaseerde authenticatie de mogelijkheid om de authenticatiemethoden tijdens de transactie aan te passen, afhankelijk van het risiconiveau. Als risicobeoordelingsinstrument neemt RBA ook onmiddellijke beslissingen over welke authenticatiemethoden moeten worden gebruikt, en in welke combinaties.

Zoals hierboven vermeld, hebben financiële instellingen vaak vertrouwd op zwakke authenticatie, zoals een wachtwoord of een eenmalige code die per sms wordt verzonden. De vooruitgang op het gebied van fraude, malware en aanvalsstrategieën vereist echter een waakzamer beveiliging. Als gevolg daarvan gaan banken over op risicogebaseerde authenticatie, waarbij een klant kan worden gevraagd een authenticatie-uitdaging uit te voeren, afhankelijk van het risiconiveau van wat hij probeert te doen. Als iemand bijvoorbeeld 90% van de beschikbare middelen op een bankrekening probeert over te maken met een apparaat dat het systeem niet kent en op een tijdstip dat niet overeenkomt met de historische patronen van de klant, wordt hem gevraagd zijn identiteit verder te verifiëren met extra authenticatie, zoals een eenmalige pascode in combinatie met een vingerafdrukscan of gezichtsbiometrie. Het gebruik van RBA kan riskante inlogpogingen identificeren en indien nodig de toegang of transacties volledig weigeren.

Hoe risicoscores in een RBA worden bepaald

Risicoscores zijn de sleutel tot risicogebaseerde authenticatie. Een risicoscore wordt bepaald aan de hand van een aantal factoren die verband houden met een toegangspoging of een poging om een transactie uit te voeren.

Zo analyseert RBA honderden en zelfs duizenden datapunten, zoals het apparaat van de klant, het IP-adres, de geolocatie, het netwerk, het tijdstip van de dag en de transactie zelf. Deze gegevens worden gebruikt om in real time een risicotransactiescore op te stellen. Afhankelijk van de risicoscore kan RBA, indien nodig, onmiddellijk een authenticatie-uitdaging in gang zetten. Een risicoscore kan ook rekening houden met de geschiedenis van de gebruiker op het gebied van beveiligingsincidenten, het aantal aanmeldingen en de gevoeligheid van de gegevens waartoe toegang moet worden verkregen. De reden dat een risicoscore gebaseerd is op een combinatie van vele contextuele en andere gegevenspunten is dat één gegevenspunt op zichzelf door een aanvaller kan en zal worden verslagen. Veel verzoeken om toegang vallen echter onder de vastgestelde risicodrempels en behoeven geen aanvullende authenticatie.

De rol van biometrie in RBA

Biometrische verificatie wordt steeds vaker gebruikt in apps voor mobiel bankieren om de veiligheid te verhogen en de gebruikers een gebruiksvriendelijke ervaring te bieden. Digitale klanten vinden het vanzelfsprekend dat hun transacties wrijvingsloos en veilig verlopen. Veel gestolen wachtwoorden en gebruikersnamen worden online verkocht en veel mensen hergebruiken wachtwoorden, waardoor ze een minder veilige authenticatiemogelijkheid vormen. Het indienen van een wachtwoord samen met een vingerafdruk is echter veel veiliger als verificatietechniek. Het gebruik van biometrie werd populair gemaakt door Apple's TouchID en de ondersteuning van biometrie gaat steeds verder dan het scannen van vingerafdrukken en omvat nu ook gezichtsscans en iris- of netvliesscans. Gebruikers kunnen de verificatiemethode kiezen die voor hen het gemakkelijkst is in een bepaalde situatie of de methode die hen het veiligst doet voelen.     

Om een steeds mobielere klantenkring te helpen verifiëren, kunnen gedragsbiometrische gegevens worden toegepast om te leren hoe een klant typt, de telefoon vasthoudt of swipet, welke hand wordt gebruikt en het ritme van de toetsaanslagen. Gedragsbiometrische gegevens geven een continu signaal over de authenticiteit van de gebruiker en zijn daarom voor fraudeurs op dit moment moeilijk te verslaan

Aanbevelingen van analisten voor een risicogebaseerde verificatieoplossing

Marktonderzoeksbureau Forrester merkt op dat op risico gebaseerde authenticatie relevanter is dan ooit voor financiële instellingen omdat online en mobiele transacties steeds populairder worden. Volgens Forrester is het vermogen om het ongemak en de rompslomp voor klanten te verminderen zonder dat dit ten koste gaat van de veiligheid, een onderscheidende factor ten opzichte van de concurrentie. Het marktonderzoeksbureau zegt ook dat een fraudebestrijdingssysteem zo veel mogelijk gebruikers-, apparaat- en transactiegegevens over digitale kanalen moet kunnen analyseren om een zo accuraat mogelijke risicoscore te genereren.

Bij de evaluatie van RBA-oplossingen suggereert Forrester ook te zoeken naar leveranciers die frauderegelsjablonen leveren die de nauwkeurigheid van uw risicoscores zullen verhogen. Een fraudebestrijdingssysteem moet transparant maken hoe en waarom deze frauderegels in alle digitale kanalen in werking worden gesteld. Bovendien moet het systeem laten zien hoe machinaal leren de frauderegels zal aanvullen om gedragspatronen op te sporen die afwijken van het normale gedrag van een klant en die kunnen wijzen op opkomende fraudemethodes.

Zorg er ook voor dat de oplossing meer doet dan alleen frauderisicoanalyses. Zorg ervoor dat het niet alleen gegevens kan verzamelen en analyseren, maar de gebruiker ook kan vragen een hogere authenticatie-uitdaging te voltooien, indien nodig.

Neem contact met ons op

Neem contact op met een van onze beveiligingsexperts voor meer informatie over hoe onze oplossingen u kunnen helpen met uw digitale beveiligingsbehoeften