Co to jest uwierzytelnianie ciągłe?
Ciągłe uwierzytelnianie to metoda potwierdzania tożsamości klienta w czasie rzeczywistym podczas korzystania z usług bankowych. Zazwyczaj dzieje się to, gdy klient korzysta z telefonu komórkowego lub komputera stacjonarnego, bankomatu lub gdy jest w oddziale. Obejmuje on ich sesję bankową od początku do końca, czyli od zalogowania do wylogowania. Ciągłe uwierzytelnianie opiera się na ciągłym przetwarzaniu danych przez silnik ryzyka, który stosuje odpowiedni poziom uwierzytelnienia podczas całej sesji. Dzięki temu instytucja finansowa może na bieżąco potwierdzać, że prawowity właściciel konta bankowego jest faktycznie osobą dokonującą transakcji na tym koncie - a nie oszustem. Ciągłe uwierzytelnianie ma miejsce podczas wszystkich zdarzeń, takich jak sprawdzanie salda, dokonywanie przelewu lub dodawanie odbiorcy płatności, w miarę jak klient przechodzi przez swoją sesję bankową.
Ciągłe uwierzytelnianie wykorzystuje wiele strumieni danych, aby umożliwić mechanizmowi ryzyka ocenę i rozpoznanie unikalnych ruchów i wzorców klienta podczas jego sesji bankowej. Klient nie zauważa, że jego lokalizacja, urządzenie, środowisko, sposób pisania na klawiaturze i inne elementy są porównywane z profilem jego normalnej interakcji z telefonem i aplikacją bankową w ramach doświadczenia użytkownika.
Ciągłe uwierzytelnianie pozwala również mechanizmowi ryzyka, który jest rdzeniem systemu zapobiegania oszustwom, na monitorowanie i analizowanie wszystkich danych związanych z sesją bankową, klientem i jego urządzeniem, w celu określenia prawdopodobieństwa wystąpienia oszustwa. Silnik ryzyka nieustannie przypisuje ocenę ryzyka w czasie rzeczywistym do każdej czynności, która ma miejsce podczas sesji bankowej.
Przy ciągłym uwierzytelnianiu, zachowanie klienta jest stale oceniane bez jego bezpośredniego udziału, aż do momentu, gdy zachowanie odbiega od jego normalnej aktywności, co skutkuje dodatkowymi warstwami bezpieczeństwa. Precyzyjny poziom zabezpieczeń jest stosowany we właściwym czasie i może oznaczać, że klient nie jest świadomy tego, że zabezpieczenia są wykonywane w tle w jego imieniu. Pozwala to jednak również instytucjom finansowym na zmniejszenie utrudnień w przypadku legalnych sesji bankowych poprzez ograniczenie uwierzytelniania wymaganego w przypadku prawdziwych interakcji, zapewniając klientowi płynne doświadczenie.
Jak działa ciągłe uwierzytelnianie
Banki i inne instytucje finansowe mogą wykorzystać ciągłe uwierzytelnianie jako część swojej strategii antyfraudowej. Dane mogą być zbierane z wielu różnych elementów sesji klienta z bankiem i mogą dotyczyć wszystkiego - od sposobu interakcji z urządzeniami mobilnymi, np. wzorców machnięć i dynamiki uderzeń klawiszy, po lokalizację. Mogą to być nawet takie rzeczy, jak to, co jeszcze dzieje się w urządzeniu w czasie, gdy klient z niego korzysta. Wszystkie te informacje pomagają w opracowaniu profilu danych użytkownika. Analityka ryzyka nadużyć może następnie łatwo wykryć wszelkie odchylenia od tego wzorca i odpowiednio zareagować.
Ciągłe uwierzytelnianie nie wydłuża czasu, jaki klient poświęca na uwierzytelnianie, pod warunkiem, że jego wzorzec zachowania nie odbiega od przyjętego wzorca. Jeśli tak się stanie, system antyfraudowy rzuci użytkownikowi wyzwanie za pomocą uwierzytelniania wstępnego. Jak wspomniano, mechanizm uwierzytelniania nie przerywa klientowi po zalogowaniu się, chyba że jest to konieczne.
Dzięki ciągłemu uwierzytelnianiu, profile danych współpracują z mechanizmem ryzyka instytucji finansowej, aby zapewnić najdokładniejszą ocenę ryzyka w celu pomocy w wykrywaniu oszustw. Pozwala to instytucjom finansowym na określenie i zastosowanie wymagań dotyczących uwierzytelniania, które odpowiadają względnemu ryzyku transakcji w trakcie jej trwania. Zaawansowany mechanizm regułowy odfiltruje fałszywe zdarzenia, które spełniają określone kryteria, ale nie jest w stanie nadążyć za złożonością ataków. Połączone razem, uczenie maszynowe i system oparty na regułach mogą objąć szeroki obszar ataków. Technologia ciągłego uwierzytelniania może wykryć moment, w którym należy zwiększyć bezpieczeństwo lub zatrzymać transakcję, aby zapobiec oszustwom w oparciu o ocenę ryzyka w czasie rzeczywistym.
Istnieje wiele różnych źródeł danych, które aplikacja bankowa (mobilna, desktopowa, bankomatowa lub oddziałowa) może dostarczyć do silnika ryzyka. Jednym z przykładów jest biometria behawioralna, która ma szeroką definicję swojej funkcjonalności. Biometria behawioralna może być interakcją użytkownika z aplikacją mobilną, np. sposób trzymania telefonu lub wzór machnięcia palcem. Ale mogą to być również wzorce użytkowników i sposób, w jaki klient wchodzi w interakcje z bankiem, np. pora dnia lub miejsce, w którym się znajduje. Biometria behawioralna przyczynia się do tworzenia profilu danych klienta, który jest wykorzystywany przez mechanizm ryzyka.
Blog
Behavioral Biometrics – A Discreet Layer of Security for Mobile Apps
Mobile banking apps and the devices they run on are increasingly at risk for compromise by cybercriminals. New, sophisticated methods of attack have rendered the classic username-password scheme outright obsolete.
Read the BlogCiągłe uwierzytelnianie może wykorzystywać różne rodzaje biometrii behawioralnej
Biometria behawioralna działa za kulisami, patrząc na to, jak klient zachowuje się ze swoim urządzeniem, aby zidentyfikować jego unikalny wzorzec zachowania, stale uwierzytelniając go podczas sesji bankowej, aby upewnić się, że jest on prawowitym użytkownikiem. Biometryczne uwierzytelnianie behawioralne porównuje aktualne zachowanie klienta z jego przeszłym zachowaniem zapisanym w jego profilu. Im większe jest podobieństwo profilu do aktualnego wzorca zachowań, tym mniej bank musi się martwić o ich tożsamość i intencje.
W przypadku nieznanej osoby zdalnie składającej wniosek o nowe konto bankowe, rozwiązanie bezpieczeństwa biometrii behawioralnej może również porównać jej zachowanie z tym, co jest typowe dla szerszej populacji, co daje wynik oceniający prawdopodobieństwo, że osoba wykonująca czynności nie jest botem lub programem komputerowym uzyskującym nieautoryzowany dostęp. W przypadku biometrii behawioralnej, zachowanie danej osoby w stosunku do jej urządzenia pomaga określić poziom wymaganego uwierzytelnienia w oparciu o poziom ryzyka.
Rodzaje biometrii behawioralnej wykorzystywane do ciągłego uwierzytelniania:
- Sposób trzymania telefonu: Dominująca ręka, której używasz podczas korzystania z telefonu oraz kąt, pod jakim trzymasz telefon, są analizowane za pomocą biometrii behawioralnej.
- Sposób pisania i szybkość pisania określają rytm naciskania klawiszy.
- Nacisk palców podczas pisania na klawiaturze można ułożyć w rozpoznawalny wzór, co może pomóc w zapobieganiu kradzieży tożsamości i zmniejszyć ryzyko oszustw internetowych.
- Wzorce przesuwania i przewijania zwracają uwagę na to, czy użytkownik przesuwa palcem po ekranie dotykowym urządzenia w prawo lub w lewo oraz w jaki sposób przewija urządzenie w górę lub w dół.
- Twój chód, czyli to jak chodzisz, jest również cechą behawioralną, którą można badać pod kątem wzorca.
Jak ciągłe uwierzytelnianie pomaga zapobiegać oszustwom
Ciągłe uwierzytelnianie może wykryć anomalie w ustalonym wzorcu zachowania klienta w stosunku do jego urządzenia i banku. Ponadto, biometria behawioralna może wykrywać złośliwe oprogramowanie, takie jak boty, które mogą przechwytywać naciśnięcia klawiszy danej osoby w celu ujawnienia jej informacji bankowych, ponieważ ruchy bota będą się różnić od naciśnięć klawiszy danej osoby.
W przypadku wykrycia podejrzanego zachowania, instytucje finansowe mogą zażądać od użytkownika dodatkowego uwierzytelnienia, aby zakwestionować dostęp do logowania lub dokonywane transakcje bankowe. Jeśli użytkownik jest w stanie przejść przez barierę bezpieczeństwa i uwierzytelnić się, może kontynuować. Jeśli nie są w stanie, proces zostaje zatrzymany, a oszustwo udaje się zapobiec.
Krajobraz zagrożeń stale się zmienia, a liczba ataków i naruszeń danych rośnie, co stanowi wyzwanie dla cyberbezpieczeństwa, a jednocześnie daje oszustom wiele możliwości. Dzięki ciągłemu uwierzytelnianiu, instytucje finansowe mają szansę zmniejszyć swoją podatność na wiele wektorów ataków i zagrożeń cyberbezpieczeństwa.
W wyniku wprowadzenia COVID-19 nastąpił gwałtowny wzrost liczby ataków na oszustwa. Według Aite Group, "Jeden z dyrektorów dużych instytucji finansowych twierdzi, że jego instytucja prognozowała wcześniej 8% spadek liczby oszustw w 2020 roku, a teraz zmieniła tę prognozę na 10% do 15% wzrost liczby oszustw w tym roku, i twierdzi, że większość innych banków zrobiła to samo". Ciągłe uwierzytelnianie pomaga ograniczyć oszustwa, ponieważ wykracza daleko poza weryfikację tożsamości klienta podczas logowania lub dokonywania transakcji. Należy zauważyć, że biometria behawioralna może być obecnie trudna do pokonania przez oszustów, ponieważ dostarcza ona ciągłych sygnałów o autentyczności klienta na podstawie jego zachowania.
Guide
Invisible Mobile Banking Channel Security
Download this guide and learn how to use layered protection techniques, identify and block malware attacks in real-time, integrate biometric authentication, fortify the authentication chain from app through device and secure the mobile app with invisible security.
Download NowZa kulisami ciągłego uwierzytelniania: rola uczenia maszynowego i reguł dotyczących oszustw
Algorytmy uczenia maszynowego mogą analizować bardzo duże ilości danych transakcyjnych, których przeglądanie przez analityków byłoby trudne i czasochłonne. Algorytmy biorą pod uwagę lokalizację klienta, jego urządzenie, sieć i inne dane. Wszystkie te dane budują szczegółowy portret każdej transakcji, sygnalizując w czasie rzeczywistym podejrzane transakcje pochodzące od atakującego lub bota w oparciu o bardzo dokładne oceny ryzyka. W zależności od oceny ryzyka, w razie potrzeby, na podstawie wzorców zachowań może zostać natychmiast przedstawione wyzwanie uwierzytelniające. Klient może zostać poproszony o wprowadzenie jednorazowego hasła (OTP) wygenerowanego przez urządzenie uwierzytelniające lub dostarczonego na przykład za pomocą powiadomienia push. Lub, jeśli poziom ryzyka jest bardzo wysoki, klient może zostać poproszony o skan twarzy w celu uwierzytelnienia użytkownika. Jeśli nie uda im się pomyślnie uwierzytelnić, interakcja lub transakcja bankowa zostaje przerwana.
Dodatkowo, ocena ryzyka może również uwzględniać historię incydentów bezpieczeństwa użytkownika, liczbę logowań oraz wrażliwość danych, do których użytkownik ma uzyskać dostęp. Powodem, dla którego wynik uwierzytelniania jest oparty na kombinacji wielu kontekstowych i innych punktów danych jest to, że jeden punkt danych sam w sobie może być i będzie pokonany przez atakującego. Wiele wniosków o dostęp nie przekracza jednak zdefiniowanych progów ryzyka i nie wymaga dodatkowego uwierzytelniania.
Uczenie maszynowe będzie również przyglądać się elementom danych urządzenia klienta, na przykład, i będzie sprawdzać, w jaki sposób urządzenie jest używane, jego wiek, czy jest to urządzenie współdzielone, jakie metody biometryczne i uwierzytelniania są przypisane do tego urządzenia, między innymi. Może również ograniczyć ludzkie uprzedzenia i zmęczenie alarmami, przedstawiając ekspertowi ds. nadużyć finansowych jedynie bardzo nietypowe zdarzenia i transakcje. Transakcje o niskim ryzyku (takie jak sprawdzenie salda ze znanego urządzenia) nie wymagałyby dodatkowej walidacji, a transakcje o wyższym ryzyku (takie jak duży przelew z urządzenia jailbroken w nowej lokalizacji) spowodowałyby dodatkowe kroki uwierzytelniania. Urządzenie jailbroken to telefon, który został zmodyfikowany w taki sposób, aby można było wprowadzić w nim zmiany, które nie są obsługiwane przez oprogramowanie w jego domyślnym stanie.
Podczas gdy algorytmy uczenia maszynowego mogą wykryć pojawiające się scenariusze ataków ze względu na ich siłę w wykrywaniu anomalii, system antyfraudowy wykorzystujący reguły oszustw może wykryć tylko znane ataki oszustw, które mogą obejmować atak phishingowy lub upychanie danych uwierzytelniających. To właśnie dlatego biblioteki reguł są tak obszerne, ponieważ w miarę identyfikowania nowych ataków oszustwa, tworzona jest i dodawana reguła, co powoduje konieczność utrzymywania setek, a nawet tysięcy pojedynczych reguł. Jednak zaawansowany silnik reguł będzie odfiltrowywał zdarzenia oszukańcze spełniające określone kryteria i wyłapywał transakcje o kwotach odbiegających od normalnego scenariusza. Ostrzega on system, aby wzmocnić uwierzytelnianie, ale system oparty na regułach nie jest w stanie nadążyć za złożonością ataków oszustów. A biblioteki reguł wciąż się powiększają, obciążając system, spowalniając jego działanie i zwiększając liczbę fałszywych alarmów. Jednakże, gdy system oparty na regułach jest połączony z uczeniem maszynowym, oba te elementy razem zapewniają silne możliwości wykrywania szerokiego wachlarza prób oszustw.
Jak ciągłe uwierzytelnianie pomaga w obsłudze klienta
Ciągłe uwierzytelnianie pozostaje w tle, gdy klient korzysta z usług bankowych, tworząc ciągły profil ryzyka dla sesji, który może się zmieniać wraz z każdym działaniem klienta lub jego urządzenia. Pozwala to instytucji finansowej nie tylko na podejmowanie działań w czasie rzeczywistym w przypadku wykrycia anomalii, ale również pozwala bankowi na zmniejszenie utrudnień dla legalnych sesji bankowych. Doświadczenie użytkownika jest płynne, a jednocześnie zmniejsza zagrożenie atakiem, zwiększając użyteczność.