Oprogramowanie uwierzytelniające

Co to jest oprogramowanie uwierzytelniające?

Oprogramowanie uwierzytelniające to sposób uwierzytelniania użytkowników za pomocą aplikacji programowej lub mobilnej, a nie urządzenia sprzętowego. Może to być również określane jako uwierzytelnianie mobilne, uwierzytelnianie przy użyciu miękkiego tokena lub uwierzytelnianie przy użyciu telefonu jako tokena. Oprogramowanie uwierzytelniające służy do potwierdzania Twojej tożsamości podczas logowania się do konta, zarówno na komputerze stacjonarnym, jak i na urządzeniu mobilnym, lub podczas dokonywania transakcji bankowych. Zwalnia Cię to z konieczności noszenia przy sobie sprzętowego urządzenia uwierzytelniającego.

Oprogramowanie uwierzytelniające może być używane jako część rozwiązania uwierzytelniania dwuskładnikowego (2FA) lub procesu uwierzytelniania wieloczynnikowego (MFA). Większość banków i innych organizacji wymaga 2FA lub MFA dla bezpieczeństwa logowania, gdzie dwa lub więcej czynników uwierzytelniania są połączone w celu weryfikacji tożsamości. To może być:

  • Coś, co znasz, np. hasło jednorazowe lub tajne pytanie
  • Coś, co posiadasz, np. urządzenie mobilne
  • Coś, czym jesteś, w tym odcisk palca lub skan twarzy

Urządzenia mobilne wymuszają stosowanie oprogramowania uwierzytelniającego

Ogólna popularność aplikacji mobilnych zwiększa oczekiwania klientów w zakresie prostego, łatwego i adaptowalnego procesu uwierzytelniania na ich urządzeniach mobilnych. Ostatnie badanie przeprowadzone przez Juniper Research wykazało, że całkowita liczba użytkowników bankowości cyfrowej przekroczy 3,6 miliarda do 2024 roku, w porównaniu do 2,4 miliarda w 2020 roku. Oprogramowanie uwierzytelniające może działać poprzez aplikację mobilną banku lub poprzez oddzielną, samodzielną aplikację uwierzytelniającą pobraną z oficjalnego sklepu z aplikacjami. Twój telefon komórkowy może być również użyty do uwierzytelnienia logowania, ponieważ jest to coś, co możesz połączyć z innym sposobem uwierzytelnienia, takim jak odcisk palca lub skan twarzy, lub jednorazowy kod PIN wygenerowany przez aplikację uwierzytelniającą na urządzeniu mobilnym, aby uzyskać 2FA. Rezultatem jest bezproblemowe doświadczenie dla Ciebie, klienta, uwalniając Cię od zarządzania hasłami. Korzystanie z telefonu komórkowego eliminuje niedogodności związane z koniecznością noszenia przy sobie twardego tokena, takiego jak karta inteligentna, aby wykonać tę samą czynność.

Ponadto, niektórzy deweloperzy decydują się na stworzenie własnego oprogramowania MFA, ale wielu z nich osadza istniejące rozwiązania oprogramowania MFA w swoich aplikacjach za pomocą interfejsów programu aplikacyjnego (API), które pozwalają oprogramowaniu dewelopera na integrację z oprogramowaniem MFA.

Eagle Bank
CASE STUDY

Eaglebank Launches Software Authentication For New Customers

EagleBank faced two key challenges in their software authentication deployment: determining the right launch strategy and forming a policy for their existing customers. Learn how they overcame them in this case study.

Read More


Metody uwierzytelniania mobilnego

Istnieje wiele różnych technologii oprogramowania do uwierzytelniania mobilnego, które można łatwo i szybko zastosować na urządzeniu mobilnym w celu zapewnienia bezpiecznego dostępu.

Na przykład, możesz zainstalować samodzielną aplikację uwierzytelniającą na swoim telefonie, gdzie zostaniesz poproszony o naciśnięcie przycisku i wygenerowany zostanie jednorazowy kod (OTP), który może być użyty w procesie uwierzytelniania dwuskładnikowego. Ten OTP może być również dostarczony przez SMS w celu uzyskania bezpiecznego uwierzytelnienia. Możesz również zalogować się do aplikacji bankowości mobilnej za pomocą odcisku palca lub twarzy, jeśli aplikacja i Twoje urządzenie to umożliwiają.

Uwierzytelnianie biometryczne, odcisk palca lub skan twarzy, może być używane do uzyskania dostępu do aplikacji bankowości mobilnej. Twój odcisk palca odblokowuje OTP, który uwierzytelnia Cię za kulisami. Apple (iOS)Touch ID lub Face ID są urządzeniami natywnymi dla uwierzytelniania biometrycznego. Framework Androida zawiera również uwierzytelnianie biometryczne za pomocą twarzy i odcisku palca.Jednak biometryczne systemy uwierzytelniania, które nie zależą od specjalistycznego sprzętu w urządzeniu, byłyby uznawane za systemy stron trzecich i pozwalałyby bankom i instytucjom finansowym na obsługę większej populacji swoich klientów za pomocą biometrii .

Dodatkowo możesz otrzymać powiadomienie push, zanim będziesz mógł się zalogować. Powiadomienie Push (uważane za uwierzytelnianie bez hasła) umożliwia uwierzytelnianie użytkownika poprzez wysłanie krótkiej wiadomości bezpośrednio do bezpiecznej aplikacji na urządzeniu danej osoby, ostrzegając ją, że ma miejsce próba uwierzytelnienia.

W przypadku uwierzytelniania transakcji, proces jest inny. Kod Cronto może być użyty do uwierzytelnienia lub autoryzacji transakcji finansowej. W tym przypadku zobaczysz graficzny kryptogram, przypominający kod QR, wyświetlany w przeglądarce internetowej. Tylko Twoje zarejestrowane urządzenie może odczytać kod Cronto, co czyni go bardzo bezpiecznym. Gdy chcesz dokonać transakcji, wprowadzasz dane do płatności do aplikacji bankowości internetowej w przeglądarce. Zobaczysz wtedy kod QR i zeskanujesz go za pomocą aparatu w swoim urządzeniu mobilnym. Twoje urządzenie zdekoduje je, odszyfruje dane dotyczące płatności i pokaże Ci je na Twoim telefonie komórkowym w postaci zwykłego tekstu. Podejście to spełnia wymagania dotyczące dynamicznego łączenia określone w zmienionej dyrektywie Unii Europejskiej w sprawie usług płatniczych (PSD2) w ramach regulacyjnego standardu technicznego.

Najlepsze praktyki przy wprowadzaniu oprogramowania uwierzytelniającego

Jeden rozmiar nie pasuje do wszystkich w przypadku uwierzytelniania. Ponieważ oprogramowanie do uwierzytelniania występuje w różnych formach, jak wspomniano powyżej, upewnij się, że spełniasz potrzeby użytkowników końcowych poprzez wspieranie wielu opcji uwierzytelniania oprogramowania. Miękkie tokeny mogą być prezentowane klientom jako łatwa i atrakcyjna alternatywa dla tokenów sprzętowych.

Należy rozważyć dwa scenariusze. Po pierwsze, instytucje finansowe mogą zapisywać nowych klientów na wiele metod uwierzytelniania podczas procesu przyjmowania nowych klientów, który jest procesem zapisywania klienta, gdy otwiera on konto w banku lub innej instytucji finansowej. Gdy laptopy i telefony klienta zostaną zarejestrowane w banku jako bezpieczne i zaufane urządzenia, bank musi zapisać klienta do uwierzytelnienia. Może to przybierać różne formy, takie jak biometria, kod PIN lub token sprzętowy. Klient będzie musiał być skonfigurowany do uwierzytelniania, aby mógł uwierzytelnić się za każdym razem, gdy uzyskuje dostęp do swojego konta w ramach doświadczenia użytkownika. Wiele banków stosuje również uwierzytelnianie, aby klienci mogli autoryzować swoje transakcje finansowe, takie jak przelewy i płatności.

Po drugie, w przypadku instytucji finansowych, które mają już klientów korzystających ze sprzętowych urządzeń uwierzytelniających, wiele osób zaleca stopniowe wprowadzanie oprogramowania uwierzytelniającego. Instytucje finansowe powinny zaplanować wykorzystanie zarówno miękkich, jak i twardych tokenów przez pewien okres czasu. Niektórzy klienci będą chcieli korzystać z obu rozwiązań, z tokenem sprzętowym jako wsparciem, nawet jeśli preferują uwierzytelnianie mobilne, a niektórzy nadal będą potrzebowali dostępu do uwierzytelniaczy sprzętowych. Wiele instytucji finansowych rozpoczyna od ankietowania klientów w celu zidentyfikowania grup użytkowników, takich jak klienci "mobile-first", którzy są gotowi zastąpić sprzętowy system uwierzytelniania uwierzytelnianiem programowym. Podejście etapowe w zależności od gotowości klientów może podnieść poziom zadowolenia wśród klientów digital-native i mobile-first, dając jednocześnie organizacji więcej czasu na edukację pozostałych użytkowników.

Wreszcie, patrząc na to, jak zaoferować pracownikom uwierzytelnianie programowe, instytucja finansowa lub inna organizacja będzie miała inne wymagania i względy dotyczące sieci korporacyjnych i telefonów. Może to obejmować udostępnienie pracownikom aplikacji uwierzytelniających na ich telefonach, uwierzytelnianie pracowników poprzez pojedyncze logowanie (SSO), zabezpieczenie dostępu do wewnętrznych systemów i portali poprzez wirtualną sieć prywatną (VPN) lub inne strategie zarządzania tożsamością i dostępem.

OneSpan Cloud Authentication Datasheet
Datasheet

OneSpan Cloud Authentication

A cloud-based, multi-factor authentication solution that delivers strong authentication for online applications, supporting web and mobile channels for retail and corporate banking

Download Now


Jak oprogramowanie do obsługi uwierzytelniania zwiększa bezpieczeństwo

Oprogramowanie uwierzytelniające zapewnia silną ochronę klientom korzystającym z bankowości internetowej i mobilnej. Łączy on uprawnionego użytkownika z zarejestrowanymi przez niego urządzeniami, co pomaga zapobiegać oszustwom. Jeśli klient zgubi swój smartfon, zazwyczaj dowiaduje się o tym niemal od razu. Jeśli korzystają z oprogramowania uwierzytelniającego, daje to klientowi i bankowi możliwość szybkiego wyłączenia urządzenia, aby zapobiec oszustwom, zamiast poszukiwania zagubionego tokena sprzętowego. Poleganie tylko na nazwach użytkowników i hasłach nie jest już uważane za bezpieczne, aby utrzymać tożsamość użytkownika bezpieczne ze względu na regularne występowanie naruszeń danych i hakerów próbujących przejąć konta.

Oprócz standardowych funkcji uwierzytelniania wieloczynnikowego, wiele firm zmierza w kierunku oprogramowania do uwierzytelniania opartego na analizie ryzyka (RBA) klasy korporacyjnej. Oprogramowanie uwierzytelniające może być również wykorzystywane jako część podejścia uwierzytelniania opartego na ryzyku. Uwierzytelnianie oparte na ryzyku polega na tym, że mechanizm ryzyka systemu zapobiegania oszustwom dostosowuje wyzwanie uwierzytelniające do poziomu ryzyka transakcji. Oprogramowanie uwierzytelniające pomaga również zapobiegać atakom phishingowym, które wykorzystują emocjonalne odwołania w wiadomościach e-mail lub tekstach, aby przekonać klientów do kliknięcia na złośliwe załączniki lub linki. Kody typu QR, które mogą być odczytywane przez urządzenie obrazujące, jak opisano powyżej, pomagają zapobiegać atakom typu Man-in-the-Middle, ponieważ wszystkie zaszyfrowane szczegóły transakcji są przekazywane tylko pomiędzy bankiem a klientem, co zmniejsza ryzyko przechwycenia lub manipulacji przez hakerów. Ponadto, tokeny programowe pozwalają na wykorzystanie danych biometrycznych, takich jak odcisk palca lub skan twarzy, ponieważ potwierdzają one obecność klienta, dodając kolejną warstwę bezpieczeństwa.

W jaki sposób oprogramowanie uwierzytelniające zapewnia lepsze doświadczenia klientów

Oprogramowanie do uwierzytelniania zapewnia lepsze wrażenia klientów, ponieważ nie muszą oni już nosić przy sobie tokenów sprzętowych, aby śledzić hasła i kody PIN, co zmniejsza niepotrzebne utrudnienia dla nich. Miękkie tokeny są proste, przyjazne dla użytkownika i oczekuje się, że ich zastosowanie będzie rosło w związku z upowszechnieniem się smartfonów. Mogą one zwiększyć lojalność i wzrost klientów dzięki łatwemu, a jednocześnie bezpiecznemu doświadczeniu w zapewnianiu silnego uwierzytelniania. Soft tokeny zapewniają szereg różnych, ale łatwych rozwiązań dzięki swoim jednorazowym kodom, biometrii i innym czynnikom uwierzytelniającym, gdy klienci logują się lub chcą dokonać transakcji finansowych.

Skontaktuj się z nami

Skontaktuj się z jednym z naszych ekspertów ds. bezpieczeństwa, aby dowiedzieć się więcej o tym, jak nasze rozwiązania mogą pomóc w Twoich potrzebach w zakresie bezpieczeństwa cyfrowego