Uwierzytelnianie jako usługa (AaaS)

Czym jest uwierzytelnianie jako usługa (AaaS)?

Uwierzytelnianie jako usługa zapewnia możliwości uwierzytelniania w chmurze, dzięki czemu instytucje finansowe mogą bezpiecznie weryfikować swoich klientów za pomocą uwierzytelniania wieloczynnikowego (MFA). Instytucje finansowe przechodzą na przetwarzanie w chmurze, w mniejszym stopniu polegając na potrzebie utrzymywania, unowocześniania i wymiany sprzętu i technologii uwierzytelniania w swojej siedzibie. Obecnie trwająca ewolucja cyfrowa została przyspieszona przez pandemię COVID-19, a klienci oczekują teraz bardziej cyfrowych doświadczeń z bankiem. Uwierzytelnianie jako usługa pozwala instytucjom finansowym wyeliminować koszty naprawy i wymiany infrastruktury sieciowej oraz ograniczyć nadużycia. Mogą one również skalować się w górę lub w dół, aby sprostać wymaganiom klientów. Uwierzytelnianie jako usługa wzmacnia i usprawnia uwierzytelnianie w różnych aplikacjach i kanałach, obsługuje kombinację sprzętowych i programowych metod uwierzytelniania oraz może być rozbudowane w celu obsługi bardziej kompleksowych rozwiązań uwierzytelniania, takich jak uwierzytelnianie adaptacyjne lub uwierzytelnianie oparte na analizie ryzyka.

Uwierzytelnianie jako usługa: Metody uwierzytelniania wieloczynnikowego

Uwierzytelnianie jako usługa wykorzystuje uwierzytelnianie wieloczynnikowe (MFA) dla bezpieczeństwa logowania, gdzie dwa lub więcej czynników uwierzytelniania jest połączonych w celu weryfikacji tożsamości. To może być:

  • Coś, co znasz, np. jednorazowy kod dostępu (OTP) lub odpowiedź na tajne pytanie
  • Coś, co posiadasz, np. urządzenie mobilne
  • Coś, czym jesteś, np. odcisk palca lub skan twarzy

Aby uzyskać uwierzytelnianie wieloczynnikowe, w procesie uwierzytelniania muszą być wykorzystane co najmniej dwie różne technologie z co najmniej dwóch różnych grup technologicznych. W rezultacie stosowanie kodu PIN w połączeniu z hasłem nie byłoby uznawane za MFA, podczas gdy stosowanie kodu PIN z rozpoznawaniem twarzy jako drugiego czynnika byłoby. Dopuszczalne jest również stosowanie więcej niż dwóch form uwierzytelniania. Jednak większość ludzi coraz częściej chce uwierzytelniania bez tarcia (możliwość bycia zweryfikowanym bez konieczności wykonywania nadmiernych kroków bezpieczeństwa).

Uwierzytelnianie jako usługa wspiera również najnowsze technologie, takie jak otwarte standardy, takie jak FIDO, biometria (w tym rozpoznawanie twarzy i skanowanie odcisków palców), uwierzytelnianie pozapasmowe, takie jak Cronto, kody QR oraz sprzęt nowej generacji.

Webcast banner

Future-Proof Authentication with a Modern Cloud-Based Platform

Experts discuss how the ability to leverage a modern security platform is central not only to supporting cloud-first strategies, but for driving down fraud, boosting the user experience and reducing total operating costs in the process. 

View the Webinar

Zalety korzystania z uwierzytelniania jako usługi (Authentication as a Service)

W ostatniej dekadzie obserwuje się rosnącą adopcję chmury i hybrydowych wdrożeń chmurowych dla usług i aplikacji IT. Pandemia COVID-19 przyspieszyła inicjatywy cyfrowej transformacji i modernizacji w bankach. Pandemia przyspieszyła również cyfrowe zachowania klientów. Ludzie oczekują obecnie bardziej cyfrowych interakcji z ich instytucjami finansowymi i oczekują, że będą one bezproblemowe. Inicjatywy te są trudne do wsparcia za pomocą infrastruktury on-premises, zwłaszcza w czasie pandemii. To przyczynia się do wzrostu zainteresowania rozwiązaniami opartymi na chmurze.

Raport Aite Group, The Rise of Digital-First Banking, analizuje, w jaki sposób konsumenci staną się digital-first niezależnie od pokolenia i czy instytucje finansowe są na to gotowe, czy też nie, teraz, gdy pandemia koronawirusów zmieniła sposób, w jaki konsumenci wchodzą w interakcje w każdym obszarze ich życia. "Kryzys COVID-19 sprawia, że trajektoria przyjmowania i wykorzystywania technologii cyfrowych idzie pełną parą", stwierdza Tiffani Montez, starszy analityk w Aite Group. "Digital-first banking jest nową normą, a teraz bardziej niż kiedykolwiek ważne jest, aby FI zbudowały nowe cyfrowe doświadczenie i zoptymalizowały istniejące procesy cyfrowe w celu zmniejszenia tarcia"

Oto zalety uwierzytelniania jako usługi:

  • Brak konieczności utrzymywania sprzętu w siedzibie klienta: Dzięki uwierzytelnianiu jako usłudze, instytucje finansowe mogą zmniejszyć koszty operacyjne działów IT.
  • Brak dodatkowego personelu IT: Sprzęt IT wymaga konserwacji i wymiany. W przypadku uwierzytelniania jako usługi, zewnętrzny dostawca usług jest zazwyczaj odpowiedzialny za utrzymanie sprzętu, na którym hostowana jest aplikacja. Na przykład, wysoko wykwalifikowani pracownicy, tacy jak inżynierowie infrastruktury, mogą zostać przydzieleni do innych projektów IT, zamiast poświęcać swój czas na prace konserwacyjne. Ponieważ uwierzytelnianie jako usługa jest bezhasłowe, eliminuje konieczność ponownego wprowadzania haseł przez zapracowane zespoły IT.
  • Obniżenie kosztów operacyjnych, zwiększenie wydajności operacyjnej: Uwierzytelnianie jako usługa pozwala instytucjom finansowym na obniżenie bieżących kosztów wymiany sprzętu serwerowego, infrastruktury sieciowej, utrzymania sieci, hostingu i procedur bezpieczeństwa. Dzięki temu koszty operacyjne są niższe niż w przypadku wdrożeń lokalnych i bardziej spójne, co zwiększa wydajność operacyjną przy jednoczesnym zapewnieniu bezpiecznego dostępu.
  • Zdolność do skalowania: Uwierzytelnianie jako usługa zapewnia bankom możliwość skalowania w górę lub w dół w zależności od potrzeb, aby sprostać bieżącemu zapotrzebowaniu. Dzięki temu wycena jest mniej skomplikowana, a zakup większej pojemności usługi w chmurze mniej kosztowny niż wdrożenie nowego sprzętu serwerowego w siedzibie firmy.
  • Szybkie i łatwe wdrożenie: Uwierzytelnianie jako usługa może zostać wdrożone w ciągu kilku tygodni bez konieczności zakupu, udostępniania i wdrażania infrastruktury IT. Z kolei wdrożenie w siedzibie firmy może trwać miesiące, a nawet do roku, w zależności od budżetu i innych czynników.
  • Elastyczne opcje uwierzytelniania: Uwierzytelnianie jako usługa wspiera hybrydowe technologie uwierzytelniania programowego i sprzętowego, ciągłe monitorowanie, profilowanie urządzeń i kanałów wielu użytkowników. Może być płynnie rozbudowywany do bardziej kompleksowych rozwiązań, takich jak uwierzytelnianie oparte na ryzy ku, które wykorzystuje uczenie maszynowe i mechanizm ryzyka w celu zmniejszenia liczby oszustw.

Trzy studia przypadków organizacji korzystających z uwierzytelniania jako usługi

Studium przypadku #1: Japoński bank przechodzi na uwierzytelnianie w chmurze

Wyzwanie: Ten japoński bank udostępnił swoją mobilną aplikację bankową w listopadzie 2019 roku. Początkowo funkcjonalność aplikacji była ograniczona i pozwalała użytkownikom jedynie na sprawdzenie stanu konta. Również dotychczasowy proces uwierzytelniania stosowany w kanale online nie zapewniał satysfakcjonującego doświadczenia w zakresie korzystania z urządzeń mobilnych. Klienci otrzymaliby jednorazowe hasło (OTP) pocztą elektroniczną i wprowadzili je do portalu internetowego. To doświadczenie nie przełożyło się dobrze na mobile. Bank zdecydował się na wdrożenie uwierzytelniania w chmurze i podpisywania danych transakcji, aby bezpiecznie umożliwić transfery pieniężne za pośrednictwem aplikacji. Czas realizacji tego projektu był bardzo napięty, ponieważ bank musiał wypuścić zaktualizowaną wersję aplikacji trzy miesiące po rozpoczęciu projektu. Zazwyczaj integracja nowego rozwiązania uwierzytelniającego z istniejącą aplikacją i wdrożenie serwera uwierzytelniającego w siedzibie firmy może trwać nawet rok. Zamiast tego, bank zdecydował się na serwer uwierzytelniający hostowany w chmurze.

Rezultat: Teraz klienci mogą uwierzytelniać się poprzez otrzymanie OTP w aplikacji lub skorzystać z biometrii odcisku palca. Rezultatem jest niezawodna, bezpieczna i wygodna obsługa klienta przy jednoczesnym rozszerzeniu funkcjonalności aplikacji bankowości mobilnej.

Studium przypadku #2: FinTech dostarcza uwierzytelnianie w chmurze do wszystkich norweskich banków

Wyzwanie: W tym przypadku użycia norweska organizacja fintech oferuje norweskim bankom bezpieczne i efektywne kosztowo rozwiązanie uwierzytelniające do identyfikacji i podpisów elektronicznych. W celu uwierzytelnienia użytkownicy musieli korzystać z uwierzytelniaczy sprzętowych, które zapewniały niezbędne bezpieczeństwo dla użytkownika końcowego. Jednak z informacji zwrotnych od klientów wynikało, że chcieliby oni rozwiązania do uwierzytelniania za pomocą oprogramowania, które umożliwiałoby im korzystanie z urządzeń mobilnych. Organizacja zdecydowała się na uruchomienie nowej aplikacji mobilnej do uwierzytelniania użytkowników, aby poprawić doświadczenie klienta i wdrożyć biometrię. Organizacja ta jest częściowo własnością wszystkich banków w Norwegii i wszystkie one korzystają z tej usługi. W rezultacie, organizacja nie mogła rozważyć rozwiązania uwierzytelniania on-premises, ponieważ wymagałoby to od każdego norweskiego banku wdrożenia nowego serwera uwierzytelniania on-premises.

Rezultat: Dzięki zastosowaniu uwierzytelniania w chmurze, banki mogły łatwo zaadoptować aplikację uwierzytelniającą do uwierzytelniania użytkowników. Po wdrożeniu aplikacji użytkownicy uzyskali dostęp do uwierzytelniania wieloczynnikowego (MFA) za pomocą biometrii linii papilarnych i powiadomień push. Nowe rozwiązanie okazało się znacznie wygodniejsze dla klientów, a ci, którzy pobrali aplikację uwierzytelniającą, mogli bezpiecznie wycofać swoje uwierzytelniacze sprzętowe.

Studium przypadku #3: Organizacja opieki zdrowotnej wprowadza uwierzytelnianie w chmurze w celu obniżenia kosztów

Wyzwanie: Firma zajmująca się tworzeniem oprogramowania dla służby zdrowia zmodernizowała ostatnio swoją strategię bezpieczeństwa, przechodząc na uwierzytelnianie jako usługę. Firma sprzedaje rozwiązanie Electronic Prescription of Controlled Substances (EPCS), które pomaga lekarzom i pracownikom służby zdrowia połączyć swoich pacjentów z regulowanymi lekami, których potrzebują. Ze względu na wrażliwe dane, zarówno obawy dotyczące prywatności informacji medycznych, jak i możliwość niewłaściwego wykorzystania leków, uwierzytelnianie i tożsamość użytkownika są niezwykle ważnymi elementami rozwiązania.

Wynik: Firma zrezygnowała z wdrożenia w siedzibie firmy na rzecz dostawcy usług uwierzytelniania w chmurze, aby uniknąć kosztów związanych z zakupem, obsługą i utrzymaniem serwerów umożliwiających uwierzytelnianie. Firma chciała również zintegrować proces uwierzytelniania z istniejącym produktem za pomocą rozwiązania, które ułatwia wdrażanie, ocenę i weryfikację zgodności z wszystkimi przepisami.

 

W jaki sposób uwierzytelnianie jako usługa pomaga ograniczyć oszustwa

Instytucje finansowe mogą pomóc w ochronie swoich klientów przed zagrożeniami związanymi z oszustwami, korzystając z MFA w chmurze w oparciu o sprawdzoną i niezawodną infrastrukturę bezpieczeństwa. Do tej pory w 2020 r. doszło do poważnych naruszeń danych w serwisach Twitter, Zoom i Marriott, który doświadczył drugiego naruszenia w ciągu ostatnich lat[JM2] . Ponieważ tak wiele osób wciąż używa tych samych statycznych haseł jako jedynego sposobu uwierzytelniania na wielu kontach, każde naruszenie danych dotyczących haseł i adresów e-mail może mieć poważne konsekwencje dla konsumentów.

W wyniku pandemii wirusa COVID-19 cyberprzestępcy zwiększyli swoje wysiłki - liczba stron phishingowych wzrosła o 350% od początku roku, a 16,6 mln funtów (20,8 mln dolarów amerykańskich) zostało utraconych w wyniku oszustw związanych z zakupami od początku blokady. Phishing pozostaje preferowanym

metoda dla atakujących, jeśli chodzi o kradzież danych uwierzytelniających, według raportu Verizon's 2020 Data Breach Investigations Report. Ponadto, z ponad 15 miliardami danych uwie rzytelniających krążących w Ciemnej Sieci, cyberprzestępcy mają wszystko, czego potrzebują do przeprowadzania ataków przejęcia konta i innych form oszustwa.

Trwająca ewolucja cyfrowa doprowadziła również do powstania urządzeń mobilnych, rozszerzenia kanałów cyfrowych oraz wzrostu liczby aplikacji i produktów. Często prowadziło to do silosowego podejścia do bezpieczeństwa uwierzytelniania, obciążając personel IT koniecznością zarządzania różnymi rozwiązaniami. Uwierzytelnianie jako usługa zapewnia scentralizowane bezpieczeństwo i gwarantuje, że banki mogą chronić klientów przed atakami oszustów, w szczególności przed atakami socjotechnicznymi i phishingiem.

Gaining the Upper Hand on Fraud with Modern SaaS Authentication

Gaining the Upper Hand on Fraud with Modern SaaS Authentication

Learn how cloud authentication is a key stepping stone to modernizing security.

Read the Blog

W jaki sposób uwierzytelnianie jako usługa poprawia doświadczenia klientów

Biorąc pod uwagę groźny krajobraz zagrożeń, uwierzytelnianie jako usługa (AaaS) pomaga bankom utrzymać bezpieczeństwo uwierzytelniania użytkowników, zwiększając zaufanie klientów bankowości cyfrowej. Klienci mogą być uwierzytelniani za pomocą przyjaznych dla użytkownika opcji uwierzytelniania mobilnego, takich jak biometria i powiadomienia push w aplikacji, co zapewnia bezproblemowe doświadczenie użytkownika. W miarę jak klienci przyjmują coraz bardziej cyfrowe zachowania, uzyskują bezpieczne uwierzytelnianie za pośrednictwem chmury.

Jak spełnia wymogi zgodności z przepisami

Uwierzytelnianie jako usługa zostało zaprojektowane w celu spełnienia wymogów PSD2 dotyczących silnego uwie rzytelniania klienta (SCA) dla bezpiecznych płatności online. Osiąga to poprzez uwierzytelnianie wieloczynnikowe, dynamiczne łączenie (w celu przeciwdziałania atakom typu Man-in-the-Middle), zabezpieczenia mobilne i technologię biometryczną. Wymogi SCA pomagają ograniczyć oszustwa i zwiększyć bezpieczeństwo płatności internetowych, ponieważ klienci muszą być uwierzytelniani za pomocą dwóch z trzech elementów uwierzytelniania:

  • Coś, co klient zna (np. PIN, hasło, pytanie bezpieczeństwa)
  • Coś, co klient posiada (np. urządzenie)
  • Coś, czym jest klient (np. dane biometryczne, takie jak odciski palców lub rozpoznawanie twarzy)

Dynamiczne łączenie pomaga również instytucjom finansowym w osiągnięciu zgodności z przepisami, ponieważ w momencie transakcji musi być wyświetlana wartość transakcji i tożsamość odbiorcy oraz muszą być wykorzystane co najmniej dwa elementy posiadania. Te elementy posiadania muszą dynamicznie powiązać transakcję z kwotą i odbiorcą płatności określonym przez zleceniodawcę, podczas inicjowania i weryfikacji transakcji.

Znaczenie strategiczne

Uwierzytelnianie jako usługa wykorzystuje oparte na chmurze uwierzytelnianie wieloczynnikowe, aby zapewnić bezpieczeństwo, ścisłą zgodność z przepisami oraz bezproblemowe doświadczenie klienta, które pomaga napędzać wzrost. Uwierzytelnianie jako usługa (Authentication as a Service) to nowoczesny sposób podejścia do zarządzania tożsamością i dostępem, który wykorzystuje zasoby chmury obliczeniowej, a także zapewnia lepsze doświadczenie użytkownika i zarządzanie użytkownikami. Zapewnia on bankom natychmiastowe zwiększenie wydajności dzięki rozwiązaniu, które można szybko wdrożyć. Uwierzytelnianie jako usługa wspiera również szybkie wdrożenie, ponieważ większość dostawców AaaS posiada wtyczki i interfejsy API (usługi RESTful, itp.), które umożliwiają łatwą integrację z aplikacjami przedsiębiorstwa.

AaaS zapewnia dodatkowe warstwy bezpieczeństwa, nie tylko poprzez silne uwierzytelnianie, ale również poprzez politykę kontroli dostępu. Poufność w chmurze uzyskuje się poprzez zastosowanie różnych algorytmów wraz z procedurami szyfrowania i deszyfrowania, haszowania, podpisów cyfrowych, certyfikatów, a także zarządzania wymianą kluczy. Oparta na chmurze funkcja MFA wspiera również coraz bardziej cyfrowe zachowania klientów. Odchodząc od infrastruktury w siedzibie firmy na rzecz dostawcy usług w chmurze, instytucje finansowe i inne organizacje kładą podwaliny pod dostosowanie i bardziej kompleksowe rozwiązania uwierzytelniania, takie jak uwierzytelnianie oparte na ryzyku lub uwierzytelnianie adaptacyjne.

Skontaktuj się z nami

Skontaktuj się z jednym z naszych ekspertów ds. bezpieczeństwa, aby dowiedzieć się więcej o tym, jak nasze rozwiązania mogą pomóc w Twoich potrzebach w zakresie bezpieczeństwa cyfrowego