Silne uwierzytelnianie

Co to jest silne uwierzytelnianie?

Silne uwierzytelnianie wykorzystuje uwierzytelnianie wieloczynnikowe (MFA) do uwierzytelniania tożsamości klienta podczas logowania i autoryzacji transakcji. Wykorzystuje również uwierzytelnianie oparte na ryzyku (RBA), aby pomóc w zapobieganiu oszustwom poprzez określenie poziomu ryzyka dla każdej transakcji bankowości internetowej lub mobilnej oraz poziomu uwierzytelniania wymaganego dla każdej transakcji.

Jak działa silne uwierzytelnianie?

Po pierwsze, uwierzytelnianie wieloczynnikowe (MFA) wykorzystuje trzy wspólne czynniki:

  • Coś, co znasz: Najbardziej powszechnym sposobem uwierzytelniania jest "coś, co znasz". Może to być hasło lub prosty osobisty numer identyfikacyjny (PIN). Jest to jednak również najłatwiejszy do pokonania przez oszustów sposób.
  • Coś, co masz: Czynnik "coś, co masz" odnosi się do elementów takich jak urządzenie mobilne lub sprzętowe tokeny uwierzytelniające, które generują jednorazowe kody OTP (ang. Single Use One Time Passcode). Uwierzytelnianie sprzętowe zapewnia uwierzytelnianie dwuskładnikowe (2FA). Opcje oparte na telefonie komórkowym, takie jak powiadomienia push i jednorazowe kody dostępu (OTP), również zapewniają 2FA.
  • Coś, czym jesteś: Biometria jest czynnikiem "czegoś, czym jesteś" i może obejmować odciski palców lub skany twarzy i jest częścią przejścia na logowanie bez hasła, szczególnie w bankowości mobilnej. Istnieje również wiele laptopów z czujnikami linii papilarnych, są one również dostępne na pamięciach USB.

Aby uzyskać uwierzytelnianie wieloczynnikowe, w procesie uwierzytelniania muszą być wykorzystane co najmniej dwie różne technologie z co najmniej dwóch różnych grup technologicznych. Klient używający kodu PIN z rozpoznawaniem twarzy jako drugiego czynnika korzystałby z MFA. Jednak klient używający kodu PIN w połączeniu z hasłem korzystałby z uwierzytelniania dwuskładnikowego (2FA), a nie z uwierzytelniania wieloczynnikowego.

Klienci, którym zależy na czasie, coraz częściej oczekują bezproblemowego uwierzytelniania. Innymi słowy, chcą być weryfikowani bez konieczności faktycznego przeprowadzania weryfikacji. Wdrożenie MFA pomaga zapobiegać oszustwom, ponieważ hasła i nazwy użytkownika są uważane za słabe zabezpieczenia. Hasła i nazwy użytkowników są łatwe do wykradzenia i wykorzystania, a ponadto są na sprzedaż w Ciemnej Sieci, czekając na zakup przez przestępców.

Po drugie, uwierzytelnianie oparte na ryzyku (RBA) jest częścią silnego uwierzytelniania:

Uwierzytelnianie oparte na ryzyku pomaga zapobiegać przejęciu konta i innym atakom oszukańczym z wykorzystaniem uczenia maszynowego i silnika ryzyka. RBA analizuje tysiące punktów danych, takich jak urządzenie klienta, adres IP, lokalizacja, sieć, pora dnia i sama transakcja, aby w czasie rzeczywistym opracować ocenę ryzyka. W zależności od oceny ryzyka, uwierzytelnianie oparte na analizie ryzyka może w razie potrzeby wywołać natychmiastowe wyzwanie uwierzytelniające. Ocena ryzyka może również uwzględniać historię incydentów bezpieczeństwa, liczbę logowań oraz wrażliwość danych, do których użytkownik uzyskał dostęp. Powodem, dla którego ocena ryzyka opiera się na kombinacji wielu kontekstowych i innych punktów danych jest fakt, że jeden punkt danych może być i będzie pokonany przez atakującego. Uwierzytelnianie oparte na ryzyku jest również znane jako uwierzytelnianie adaptacyjne lub uwierzytelnianie krokowe i w razie potrzeby korzysta z uwierzytelniania wieloczynnikowego.

Oto przykład uwierzytelniania opartego na ryzyku, które określa, że transakcja jest obarczona niskim ryzykiem: Prawowity klient loguje się do swojego portalu bankowego za pomocą znanego urządzenia, które zostało zarejestrowane w banku i korzysta z tej samej przeglądarki, co zwykle. Klient sprawdza stan swojego konta lub dokonuje niewielkiej płatności. W tym przypadku system określa, że ryzyko oszustwa jest na tyle niskie, że klient nie musi się ponownie uwierzytelniać po zalogowaniu.

Jednakże, gdy zachowanie klienta odbiega od jego normalnej aktywności, system oparty na ryzyku doda więcej mechanizmów uwierzytelniania, co spowoduje więcej przeszkód w zabezpieczeniu bardziej ryzykownych transakcji, takich jak przelew bankowy. W takim przypadku klient zostanie poproszony o uwierzytelnienie się w takiej czy innej formie, na przykład za pomocą odcisku palca wraz z jednorazowym kodem dostępu, co będzie uwierzytelnieniem wieloczynnikowym. W przypadku powodzenia, kontynuowaliby swoją działalność. Jeśli nie, transakcja zostanie anulowana.

Jak wspomniano, statyczne hasła i nazwy użytkowników nie zapewniają już wystarczającego bezpieczeństwa, biorąc pod uwagę stale zmieniające się zagrożenia i regularne naruszenia danych. Uwierzytelnianie oparte na ryzyku, wykorzystujące uwierzytelnianie wieloczynnikowe, pozwala instytucjom finansowym na wspieranie elementów uwierzytelniania takich jak aplikacje mobilne i tokeny sprzętowe, które są czymś, co posiadasz. Obsługuje również biometrię, taką jak odcisk palca i skany twarzy, które są czymś, czym jesteś, a także obsługuje element czegoś, co znasz, taki jak PIN.

Różne rodzaje technologii uwierzytelniania wieloczynnikowego

  • Tokeny sprzętowe: Małe, łatwe w użyciu urządzenia sprzętowe, takie jak breloczki lub karty inteligentne, które właściciel nosi przy sobie w celu autoryzacji dostępu do usługi sieciowej. Obsługują one silne uwierzytelnianie za pomocą haseł jednorazowych (OTP). Tokeny sprzętowe stanowią czynnik posiadania dla uwierzytelniania wieloczynnikowego. Są one trudne do fizycznego włamania i manipulacji, pomagają w ochronie danych, ponieważ dane klientów nie są przechowywane, i są mniej podatne na ataki.
  • Miękkie tokeny: tokeny oparte na oprogramowaniu lub aplikacji generują jednorazowy kod PIN do logowania. Te tokeny są często używane do uwierzytelniania wieloczynnikowego, w którym smartfon zapewnia czynnik "posiadania", czyli coś, co posiadasz. Miękkie tokeny zmniejszają potrzebę zapamiętywania haseł, mogą nadążać za innowacjami technologicznymi i mogą skrócić czas wdrożenia z dni do minut dla użytkownika końcowego.
  • PowiadomieniaPush: Powiadomienia Push dostarczają kod uwierzytelniający lub hasło jednorazowe za pomocą powiadomienia push na urządzenie mobilne danej osoby. Zamiast otrzymywać wiadomość SMS, powiadomienie push pojawia się na ekranie blokady urządzenia danej osoby.
  • Kryptogram wizualny: Kryptogram wizualny, taki jak Cronto®, jest rozwiązaniem uwierzytelniania wieloczynnikowego, które wykorzystuje unikalne wyzwanie wizualne zawarte w graficznym kryptogramie, który składa się z matrycy kolorowych kropek. Klient używa kamery w swoim urządzeniu mobilnym do zeskanowania kryptogramu i odszyfrowania szczegółów transakcji w nim zawartych.
  • Mobilne uwierzytelnianie: Mobilne uwierzytelnianie zapewnia sposób weryfikacji klienta za pomocą jego telefonu lub weryfikacji samego urządzenia, pozwalając klientowi na logowanie się do bezpiecznych lokalizacji i dostęp do zasobów z dowolnego miejsca przy zwiększonym poziomie bezpieczeństwa.
  • Uwierzytelnianie biometryczne: uwierzytelnianie biometryczne obejmuje wykorzystanie skanu linii papilarnych lub rozpoznawania twarzy w procesie uwierzytelniania w celu dokładnego i bezpiecznego uwierzytelniania klientów zazwyczaj na ich urządzeniach mobilnych, jak również uwierzytelnianie behawioralne, które zapewnia zakulisowe zabezpieczenia, które stale uwierzytelniają klientów na podstawie unikalnych sposobów interakcji z ich urządzeniami. Obejmuje to kadencję ich naciśnięć klawiszy, ich wzorce machnięć i wiele innych.

Jak silne uwierzytelnianie pomaga zapobiegać oszustwom

Silne metody uwierzytelniania mogą pomóc w zmniejszeniu liczby ataków oszustw dzięki uwierzytelnianiu wieloczynnikowemu i uwierzytelnianiu opartemu na analizie ryzyka.

Uwierzytelnianie wieloczynnikowe utrudnia oszustom zalogowanie się na konto klienta dzięki trzem czynnikom uwierzytelniania: coś, co wiesz, coś, co masz i coś, czym jesteś. MFA zapewnia dodatkowe bezpieczeństwo, gdy urządzenie klienta nie zostanie rozpoznane, na przykład, lub gdy klient próbuje dokonać transakcji z nietypowej lokalizacji. Pomaga również zapobiegać niektórym z najczęstszych ataków cybernetycznych, w tym phishingowi, podszywaniu się pod dane uwierzytelniające, atakom typu man-in-the-middle i keyloggerom. Atak phishingowy może doprowadzić do kradzieży danych uwierzytelniających, ale nie dostarczy hakerowi na przykład odcisku palca. Stosowanie uwierzytelniania wieloczynnikowego nie powstrzyma wszystkich rodzajów ataków, ale zapewnia dodatkowe warstwy silnego uwierzytelniania, które mogą utrudnić cyberataki. Jeśli jeden czynnik zostanie naruszony lub złamany, atakujący ma jeszcze co najmniej jedną barierę do złamania, zanim uzyska dostęp do konta klienta.

Uwierzytelnianie oparte na ryzyku pomaga również zapobiegać oszustwom, ponieważ system zapobiegania oszustwom podejmuje w czasie rzeczywistym decyzje dotyczące dokładnego poziomu zabezpieczeń uwierzytelniania, który jest wymagany dla każdej transakcji klienta, aby zapobiec nieautoryzowanemu dostępowi. Oszustowi trudno jest podszyć się pod prawowitego klienta, ponieważ RBA opiera się na kontekstowym widoku zachowania danej osoby, danych transakcyjnych i danych z urządzeń.

Z czasem wynik ryzyka staje się bardziej wiarygodnym wskaźnikiem zagrożenia konta i wszelkich pojawiających się schematów oszustw. Jako narzędzie oceny ryzyka, RBA podejmuje również natychmiastowe decyzje o tym, które metody uwierzytelniania należy stosować i w jakich kombinacjach, aby zapobiec oszustwom. Oto przykład uwierzytelniania opartego na ryzyku w działaniu: Jeśli ktoś próbuje przelać 90% środków dostępnych na koncie bankowym za pomocą nieznanego i niezarejestrowanego w banku urządzenia o porze dnia, która nie pasuje do historycznych wzorców klienta, zostanie poproszony o dalszą weryfikację swojej tożsamości za pomocą silnego uwierzytelniania, takiego jak jednorazowy kod dostępu wraz ze skanem odcisku palca lub biometrii twarzy. Dodatkowo, wykorzystanie RBA może zidentyfikować ryzykowne próby logowania i w razie potrzeby całkowicie odmówić dostępu lub transakcji.

Silne uwierzytelnianie odsuwa instytucje finansowe od polegania na hasłach, które są łatwe do złamania i stanowią główną przyczynę naruszeń bezpieczeństwa i oszustw związanych z kontami. Część problemu z hasłami polega na tym, że współczesne metody oszustw są tak wyrafinowane, że hasło praktycznie nie jest w stanie im zapobiec.

Korzyści z silnego uwierzytelniania?

Silne uwierzytelnianie zapewnia większe bezpieczeństwo niż przestarzałe uwierzytelnianie jednoczynnikowe za pomocą nazwy użytkownika i hasła. W miarę jak banki dodają nowe usługi online i nowe sposoby obsługi coraz bardziej mobilnych klientów, silne uwierzytelnianie może pomóc dotrzymać kroku wyzwaniom związanym z bezpieczeństwem i zapewnić klientom jak najmniej inwazyjną obsługę.

Jest to również zwycięski warunek, który może pomóc w odblokowaniu lojalności, a ostatecznie doprowadzić do wzrostu, ponieważ jest to płynne i bezpieczne doświadczenie dla klientów. Klienci mają mało cierpliwości do zbyt wielu warstw uwierzytelniania i po prostu nie chcą spędzać dużo czasu na uzyskiwaniu dostępu do swoich kont. Jako część cyfrowej transformacji banku, silne uwierzytelnianie eliminuje również niepotrzebne etapy weryfikacji tożsamości. W zależności od poziomu ryzyka, w odpowiednim momencie dla każdej transakcji zastosowana zostaje odpowiednia ilość zabezpieczeń, co zapewnia bezproblemową obsługę, jeśli wymagane jest dodatkowe zabezpieczenie. Doświadczenie klienta ma bezpośredni wpływ na utrzymanie klienta, a badania wykazały, że klienci, którzy mogą łatwo kontaktować się ze swoją instytucją finansową w dowolnym miejscu i czasie, są mniej skłonni do zmiany instytucji finansowej. Jak wspomniano, silne uwierzytelnianie pomaga również instytucjom finansowym ograniczyć straty związane z oszustwami.

Zgodność

Silne uwierzytelnianie klienta (SCA) jest nowym wymogiem zmienionej dyrektywy w sprawie usług płatniczych (PSD2), która wprowadza dodatkowe warstwy zabezpieczeń do płatności elektronicznych. Na przykład, MFA jest niezbędna do spełnienia wymogu silnego uwierzytelniania. PSD2 nakazuje również stosowanie analizy ryzyka transakcji w celu zapobiegania nieuczciwym płatnościom.

Co mówią analitycy

Firma Forrester, zajmująca się badaniem rynku, zauważa, że uwierzytelnianie oparte na ryzyku, będące częścią silnego uwierzytelniania, jest bardziej niż kiedykolwiek istotne dla instytucji finansowych, ponieważ transakcje online i mobilne są coraz bardziej popularne. Forrester twierdzi, że zdolność do zmniejszenia niedogodności i kłopotów dla klientów bez poświęcania bezpieczeństwa jest czynnikiem wyróżniającym na tle konkurencji. Firma zajmująca się badaniami rynku twierdzi również, że aby wygenerować jak najdokładniejszy wynik ryzyka, system antyfraudowy musi być w stanie przeanalizować jak najwięcej danych dotyczących użytkowników, urządzeń i transakcji w kanałach cyfrowych.

Skontaktuj się z nami

Skontaktuj się z jednym z naszych ekspertów ds. bezpieczeństwa, aby dowiedzieć się więcej o tym, jak nasze rozwiązania mogą pomóc w Twoich potrzebach w zakresie bezpieczeństwa cyfrowego

Skontaktuj się z nami