Sterke authenticatie

Wat is sterke authenticatie?

Sterke authenticatie maakt gebruik van multifactorauthenticatie (MFA) om de identiteit van een klant te verifiëren tijdens het inloggen en het autoriseren van transacties. Het maakt ook gebruik van risicogebaseerde authenticatie (RBA) om fraude te helpen voorkomen door het risiconiveau voor elke online of mobiele banktransactie te bepalen en te bepalen welk authenticatieniveau voor elke transactie vereist is.

Hoe werkt sterke authenticatie?

Ten eerste maakt multifactorauthenticatie (MFA) gebruik van drie gemeenschappelijke factoren:

  • Iets dat u weet: De meest gebruikelijke verificatie is "iets dat u weet". Het kan een wachtwoord zijn of een eenvoudig persoonlijk identificatienummer (PIN). Het is voor fraudeurs echter ook het gemakkelijkst te verslaan.
  • Iets wat je hebt: De factor "iets wat je hebt" verwijst naar items zoals een mobiel apparaat of hardware authenticator tokens, die eenmalig te gebruiken eenmalige toegangscode (OTP) genereren. Hardware-authenticatie biedt authenticatie met twee factoren (2FA). Opties voor mobiele telefoons, zoals een pushmelding en een eenmalige toegangscode (OTP), bieden ook 2FA.
  • Iets wat je bent: biometrie is de factor "iets wat je bent" en kan bestaan uit vingerafdrukken of gezichtsscans en maakt deel uit van de verschuiving naar inloggen zonder wachtwoord, vooral bij mobiel bankieren. Er zijn ook een aantal laptops beschikbaar met vingerafdruksensoren, en deze zijn ook beschikbaar op USB flash drives.

Om multifactorauthenticatie te bereiken, moeten ten minste twee verschillende technologieën van ten minste twee verschillende technologiegroepen worden gebruikt voor het authenticatieproces. Een klant die een PIN-code gebruikt met gezichtsherkenning als tweede factor, zou MFA gebruiken. Een klant die een PIN-code in combinatie met een wachtwoord gebruikt, maakt echter gebruik van authenticatie met twee factoren (2FA) en niet van multifactorauthenticatie.

Klanten die in tijdnood verkeren, willen steeds meer wrijvingsloze authenticatie. Met andere woorden, zij willen geverifieerd worden zonder de verificatie zelf te hoeven uitvoeren. De invoering van MFA helpt fraude te voorkomen omdat wachtwoorden en gebruikersnamen als zwakke beveiliging worden beschouwd. Wachtwoorden en gebruikersnamen zijn gemakkelijk te stelen en te misbruiken en ze zijn te koop op het dark web om door criminelen te worden gekocht.

Ten tweede is risicogebaseerde authenticatie (RBA) een onderdeel van sterke authenticatie:

Risicogebaseerde verificatie helpt accountovername en andere fraudeaanvallen te voorkomen met behulp van machinaal leren en een risico-engine. RBA analyseert duizenden datapunten, zoals het apparaat van de klant, het IP-adres, de locatie, het netwerk, het tijdstip van de dag en de transactie zelf, om in realtime een risicoscore op te stellen. Afhankelijk van de risicoscore kan risicogebaseerde authenticatie, indien nodig, een onmiddellijke authenticatie-uitdaging in werking stellen. Een risicoscore kan ook rekening houden met de geschiedenis van de gebruiker op het gebied van beveiligingsincidenten, het aantal aanmeldingen en de gevoeligheid van de geraadpleegde gegevens. De reden dat een risicoscore gebaseerd is op een combinatie van vele contextuele en andere gegevenspunten is dat één gegevenspunt op zichzelf door een aanvaller kan en zal worden verslagen. Risicogebaseerde authenticatie is ook bekend als adaptieve authenticatie of stapsgewijze authenticatie en maakt gebruik van multifactorauthenticatie wanneer dat nodig is.

Hier volgt een voorbeeld van risicogebaseerde authenticatie die bepaalt dat een transactie een laag risico inhoudt: een legitieme klant logt in op zijn bankportaal met een bekend apparaat dat bij de bank is geregistreerd en dat dezelfde browser gebruikt als hij gewoonlijk gebruikt. De klant controleert zijn saldo of doet een kleine betaling. In dit geval bepaalt het systeem dat het frauderisico zo laag is dat de klant zich niet opnieuw hoeft te verifiëren nadat hij heeft ingelogd.

Wanneer het gedrag van de klant echter afwijkt van zijn normale activiteiten, zal het risicogebaseerde systeem meer authenticatiemechanismen toevoegen, wat resulteert in meer veiligheidshindernissen voor riskantere transacties zoals een bankoverschrijving. In dat geval zou de klant worden gevraagd zich op een of andere manier te authenticeren, bijvoorbeeld met een vingerafdruk in combinatie met een eenmalige toegangscode, wat een meervoudige factorauthenticatie zou zijn. Als ze succes hebben, gaan ze door met hun bedrijf. Zo niet, dan wordt de transactie geannuleerd.

Zoals gezegd bieden statische wachtwoorden en gebruikersnamen niet langer voldoende beveiliging gezien de voortdurend evoluerende dreiging van het landschap en de regelmatige inbreuken op gegevens. Risicogebaseerde authenticatie met behulp van meervoudige factorauthenticatie stelt financiële instellingen in staat authenticatie-elementen te ondersteunen, zoals mobiele apps en hardwaretokens, waarover u beschikt. Het ondersteunt ook biometrie, zoals vingerafdrukken en gezichtsscans, die iets zijn wat je bent, en ondersteunt het iets wat je weet-element zoals een PIN-code.

Verschillende soorten multifactorauthenticatietechnologieën

  • Hardwaretokens: kleine, gemakkelijk te gebruiken hardware-apparaten, zoals sleutelhangers of smartcards, die een eigenaar bij zich draagt om toegang te verlenen tot een netwerkdienst. Zij ondersteunen sterke authenticatie met eenmalige wachtwoorden (OTP's). Hardwaretokens bieden de bezitsfactor voor multifactorauthenticatie. Ze zijn moeilijk fysiek te kraken en te manipuleren, helpen bij de gegevensbescherming omdat er geen klantengegevens worden opgeslagen, en zijn minder kwetsbaar voor aanvallen.
  • Soft tokens: softwarematige of app-gebaseerde tokens genereren een eenmalige login PIN. Deze tokens worden vaak gebruikt voor multifactorauthenticatie waarbij de smartphone de "bezitsfactor" levert, of iets wat je hebt. Soft tokens verlichten de noodzaak om wachtwoorden te onthouden, kunnen technologische innovaties bijhouden en kunnen de onboardingtijd voor de eindgebruiker terugbrengen van dagen tot minuten.
  • Pushberichten: Pushberichten leveren de authenticatiecode of het eenmalige wachtwoord via een pushbericht af op het mobiele apparaat van de betrokkene. In plaats van een sms-bericht te ontvangen, verschijnt de pushmelding op het vergrendelscherm van het toestel van de betrokkene.
  • Visueel cryptogram: Een visueel cryptogram zoals Cronto® is een multifactorauthenticatieoplossing die gebruik maakt van een unieke visuele uitdaging die vervat zit in een grafisch cryptogram, dat bestaat uit een matrix van gekleurde stippen. De klant gebruikt de camera op zijn mobiele toestel om het cryptogram te scannen en de transactiegegevens erin te ontcijferen.
  • Mobiele authenticatie: Mobiele authenticatie biedt een manier om een klant via zijn telefoon te verifiëren of het apparaat zelf te verifiëren, waardoor de klant op beveiligde locaties kan inloggen en overal toegang tot bronnen heeft met verbeterde beveiliging.
  • Biometrische verificatie: Biometrische verificatie omvat het gebruik van een vingerafdrukscan of gezichtsherkenning in het verificatieproces om klanten op een nauwkeurige en veilige manier te verifiëren, meestal op hun mobiele toestellen, alsook verificatie op basis van gedrag, wat achter de schermen een beveiliging biedt die hen voortdurend verifieert aan de hand van de unieke manieren waarop zij met hun toestellen omgaan. Dit omvat de cadans van hun toetsaanslagen, hun veegpatronen, en nog veel meer.

Hoe sterke authenticatie fraude helpt voorkomen

Sterke authenticatiemethoden kunnen fraudeaanvallen helpen terugdringen dankzij multifactorauthenticatie en risicogebaseerde authenticatie.

Meerfactorauthenticatie maakt het voor fraudeurs moeilijker om in te loggen op de rekening van een klant dankzij drie authenticatiefactoren voor validatie: iets wat je weet, iets wat je hebt en iets wat je bent. MFA voegt extra veiligheid toe wanneer het apparaat van de klant niet wordt herkend, bijvoorbeeld, of wanneer de klant een transactie probeert te doen vanaf een ongebruikelijke locatie. Het helpt ook een aantal van de meest voorkomende cyberaanvallen te voorkomen, waaronder phishing, credential stuffing, man-in-the-middle-aanvallen en keyloggers. Een phishing-aanval kan resulteren in het stelen van iemands inloggegevens, maar het zal de hacker bijvoorbeeld geen vingerafdruk opleveren. Het gebruik van multifactorauthenticatie houdt niet alle soorten aanvallen tegen, maar voegt wel extra lagen van sterke authenticatie toe die cyberaanvallen kunnen bemoeilijken. Als één factor gecompromitteerd of gebroken is, moet de aanvaller nog minstens één barrière doorbreken voordat hij toegang kan krijgen tot de rekening van een klant.

Risicogebaseerde authenticatie helpt ook fraude te voorkomen, omdat het fraudepreventiesysteem in realtime beslissingen neemt over het precieze authenticatieniveau dat voor elke klanttransactie nodig is om ongeoorloofde toegang te voorkomen. Het is moeilijk voor een fraudeur om zich voor te doen als een legitieme klant omdat RBA gebaseerd is op de contextuele weergave van bijvoorbeeld het gedrag van de persoon, transactiegegevens en apparaatgegevens.

Na verloop van tijd wordt de risicoscore een betrouwbaardere indicator van de compromittering van rekeningen en van opkomende fraudepatronen. Als risicobeoordelingsinstrument neemt RBA ook onmiddellijk beslissingen over welke verificatiemethoden moeten worden gebruikt en in welke combinaties om fraude te helpen voorkomen. Hier volgt een voorbeeld van risicogebaseerde authenticatie in actie: als iemand 90% van de beschikbare middelen op een bankrekening probeert over te maken met een onbekend en niet bij de bank geregistreerd apparaat en op een tijdstip dat niet overeenkomt met de historische patronen van de klant, wordt hem gevraagd zijn identiteit verder te verifiëren met sterke authenticatie, zoals een eenmalige pascode in combinatie met een vingerafdrukscan of biometrische gezichtskenmerken. Bovendien kan het gebruik van RBA riskante aanmeldingspogingen identificeren en indien nodig de toegang of transacties volledig weigeren.

Sterke authenticatie zorgt ervoor dat financiële instellingen niet langer vertrouwen op wachtwoorden, die gemakkelijk te kraken zijn en een belangrijke oorzaak zijn van inbreuken op de beveiliging en fraude met bankrekeningen. Een deel van het probleem met wachtwoorden is dat de moderne fraudemethoden zo geraffineerd zijn dat een wachtwoord vrijwel geen hoop biedt om ze te voorkomen.

Voordelen van sterke authenticatie?

Sterke authenticatie biedt meer veiligheid dan de verouderde gebruikersauthenticatie met gebruikersnaam en wachtwoord op basis van één factor. Naarmate banken nieuwe onlinediensten en nieuwe manieren toevoegen om hun steeds mobielere klanten van dienst te zijn, kan sterke authenticatie helpen gelijke tred te houden met beveiligingsuitdagingen en klanten een zo min mogelijk ingrijpende ervaring bieden.

Het is ook een winnende voorwaarde die kan helpen bij het ontsluiten van loyaliteit, en uiteindelijk kan leiden tot groei, omdat het een soepele en veilige ervaring is voor klanten. Klanten hebben weinig geduld voor te veel authenticatielagen en willen eenvoudigweg niet veel tijd besteden aan de toegang tot hun rekeningen. Als onderdeel van de digitale transformatie van een bank worden met sterke authenticatie ook onnodige stappen voor identiteitsverificatie weggenomen. Het past de precieze hoeveelheid beveiliging toe op het juiste moment voor elke transactie, op basis van het risiconiveau, en zorgt voor een soepele ervaring als extra beveiliging vereist is. Klantervaring heeft een directe impact op retentie, en studies hebben aangetoond dat klanten die overal en op elk moment gemakkelijk met hun financiële instelling kunnen communiceren, minder geneigd zijn om naar een andere financiële instelling over te stappen. Zoals gezegd, helpt sterke authenticatie financiële instellingen ook om fraudeverliezen te beperken.

Compliance

Sterke klantenauthenticatie (SCA) is een nieuwe vereiste van de herziene richtlijn betalingsdiensten (PSD2), die extra beveiligingslagen toevoegt aan elektronische betalingen. Zo is MFA nodig om aan de eis van sterke authenticatie te voldoen. PSD2 stelt ook het gebruik van transactierisicoanalyse verplicht om frauduleuze betalingen te voorkomen.

Wat analisten zeggen

Marktonderzoeksbureau Forrester merkt op dat risicogebaseerde authenticatie, een onderdeel van sterke authenticatie, relevanter is dan ooit voor financiële instellingen omdat online en mobiele transacties steeds populairder worden. Volgens Forrester is het vermogen om het ongemak en de rompslomp voor klanten te verminderen zonder dat dit ten koste gaat van de veiligheid, een onderscheidende factor ten opzichte van de concurrentie. Het marktonderzoeksbureau zegt ook dat een fraudebestrijdingssysteem zo veel mogelijk gebruikers-, apparaat- en transactiegegevens over digitale kanalen moet kunnen analyseren om een zo accuraat mogelijke risicoscore te genereren.

Neem contact met ons op

Neem contact op met een van onze beveiligingsexperts voor meer informatie over hoe onze oplossingen u kunnen helpen met uw digitale beveiligingsbehoeften