Uwierzytelnianie oparte na analizie ryzyka

Co to jest uwierzytelnianie oparte na ryzyku?

Uwierzytelnianie oparte na ryzyku (RBA) pomaga zapobiegać oszustwom poprzez określenie poziomu ryzyka dla każdej transakcji finansowej oraz poziomu uwierzytelniania klienta wymaganego dla każdej transakcji. RBA pomaga zapobiegać oszustwom związanym z przejęciem konta oraz innym rodzajom ataków oszustw internetowych i mobilnych poprzez dopasowanie uwierzytelniania do poziomu ryzyka. Tradycyjne technologie zarządzania tożsamością i dostępem nie są już wystarczające w obliczu stale zmieniającego się krajobrazu zagrożeń i regularnych naruszeń danych. Uwierzytelnianie oparte na ryzyku jest również znane jako uwierzytelnianie adaptacyjne lub uwierzytelnianie krokowe.

W przeszłości wiele organizacji polegało na jednym typie uwierzytelniania dla wszystkich klientów i transakcji: statycznych hasłach i nazwach użytkowników. Jest to znane jako uwierzytelnianie binarne. Hasła i nazwy użytkowników są uważane za słabe zabezpieczenia, ponieważ są tak łatwe do wykradzenia i wykorzystania przez oszustów. Z drugiej strony, uwierzytelnianie oparte na ryzyku jest formą silnego uwierzytelniania, ponieważ nadaje kontekst użytkownikowi i jego transakcji w celu określenia poziomu ryzyka i podatności na oszustwo. W przypadku transakcji wysokiego ryzyka, użytkownik jest proszony o dodatkowe uwierzytelnienie w celu potwierdzenia swojej tożsamości.

3 czynniki uwierzytelniania

Istnieją trzy typowe czynniki wykorzystywane do uwierzytelniania:

  1. Coś, co wiesz
  2. Coś, co masz
  3. Coś, czym jesteś

Najczęstszym sposobem uwierzytelniania jest coś, co znasz i może to być hasło lub prosty osobisty numer identyfikacyjny (PIN). Jest to jednak również najłatwiejszy do pokonania przez oszustów sposób.

Czynnik "coś, co masz" odnosi się do elementów takich jak urządzenie mobilne lub sprzętowe tokeny uwierzytelniające, które generują jednorazowe kody dostępu. Uwierzytelnianie sprzętowe zapewnia uwierzytelnianie dwuskładnikowe (2FA). Opcje oparte na smartfonach, takie jak powiadomienia push i hasło jednorazowe (OTP), również zapewniają weryfikację wieloczynnikową.

Biometria to czynnik "coś, czym jesteś", mogą to być odciski palców, skany twarzy lub analiza głosu i jest częścią ruchu w kierunku logowania bez hasła. Istnieje wiele laptopów i telefonów wyposażonych w czujniki linii papilarnych, są one również dostępne na pamięciach USB.

Te trzy czynniki uwierzytelniania są często łączone w celu zapewnienia silniejszego zabezpieczenia, aby udaremnić oszustów. Połączenie skanu linii papilarnych z jednorazowym kodem dostępu wzmacnia bezpieczeństwo i jest przykładem uwierzytelniania wieloczynnikowego (MFA).

The Forrester Wave™, Risk-Based Authentication, Q2 2020 Report
Analyst Report

The Forrester Wave™, Risk-Based Authentication, Q2 2020 Report

Download this new Forrester report for a deeper understanding of OneSpan’s Intelligent Adaptive Authentication solution and how it improves the customer experience, helps mitigate fraud, and meets key risk-based authentication (RBA) requirements.

Download Now


Znaczenie uwierzytelniania opartego na analizie ryzyka

Uwierzytelnianie oparte na analizie ryzyka może pomóc w zapobieganiu nieautoryzowanemu dostępowi do konta i kradzieży środków finansowych lub danych umożliwiających identyfikację osób. Jest to kluczowy element poprawy doświadczenia użytkowników końcowych i ich utrzymania, ponieważ sprawia, że korzystanie z bankowości cyfrowej jest łatwiejsze i bezpieczniejsze dla prawowitych klientów, a trudniejsze dla oszustów. Nieuprawniony dostęp do danych klientów stanowi zagrożenie dla marki, reputacji i pozycji konkurencyjnej instytucji finansowej.

Jak uwierzytelnianie oparte na ryzyku zmniejsza utrudnienia dla klientów

Adaptacyjne uwierzytelnianie zmniejsza utrudnienia dla klientów, jednocześnie pomagając zapobiegać przejęciu konta i innym rodzajom ataków oszukańczych. Wykorzystuje ona środki bezpieczeństwa działające w tle, w czasie rzeczywistym, podczas gdy klient prowadzi swoją działalność. RBA stosuje precyzyjny poziom zabezpieczeń dla każdej unikalnej interakcji z klientem i unika zbędnych kroków bezpieczeństwa dla transakcji o niskim ryzyku, które mogą zwiększać uciążliwość dla użytkownika. Dobrym przykładem jest logowanie się prawowitego klienta do portalu bankowego za pomocą znanego urządzenia, które zostało zarejestrowane w banku, przy użyciu tej samej przeglądarki, z której korzysta zazwyczaj. Wykonują działania o niskim ryzyku, takie jak sprawdzenie stanu konta lub dokonanie niewielkiej płatności. W tym przypadku system określa, że ryzyko oszustwa jest tak niskie, że nie ma potrzeby ponownego uwierzytelniania się po zalogowaniu. Tylko wtedy, gdy zachowanie użytkownika odbiega od normalnej aktywności, dodawane są dodatkowe wyzwania uwierzytelniające, co skutkuje zwiększonymi przeszkodami bezpieczeństwa dla bardziej ryzykownych transakcji, takich jak przelew bankowy. Klient zostanie poproszony o uwierzytelnienie się w takiej czy innej formie, a jeśli to się uda, będzie mógł kontynuować swoją działalność.

blog icon
Blog

How Risk-based Authentication Cuts Fraud Losses and Improves Customer Satisfaction

Read More


Jak uwierzytelnianie oparte na ryzyku może napędzać wzrost i lojalność

Uwierzytelnianie oparte na ryzyku jest kluczem do odblokowania wzrostu i lojalności klientów dla banków, ponieważ znacznie zmniejsza tarcie, aby zapewnić lepsze doświadczenie klienta. Jako część cyfrowej transformacji banku, redukuje zbędne kroki weryfikacji tożsamości i stosuje precyzyjną ilość zabezpieczeń w odpowiednim czasie dla każdej transakcji w oparciu o poziom ryzyka. Doświadczenie użytkownika ma bezpośredni wpływ na utrzymanie klienta. Badania wykazały, że klienci, którzy mają możliwość łatwego kontaktu ze swoją instytucją finansową w dowolnym miejscu i czasie, rzadziej decydują się na zmianę. Jednocześnie, stosowanie uwierzytelniania opartego na analizie ryzyka może pomóc bankom i innym instytucjom finansowym w ograniczeniu strat związanych z oszustwami.

Dlaczego uwierzytelnianie oparte na analizie ryzyka jest podstawowym narzędziem bezpieczeństwa

Uwierzytelnianie oparte na analizie ryzyka jest istotnym narzędziem bezpieczeństwa, ponieważ działa w czasie rzeczywistym, aby pomóc w zapobieganiu cyber oszustwom, bez niedogodności dla prawowitych klientów.

Podczas gdy system zapobiegania oszustwom generuje wynik ryzyka transakcji, uwierzytelnianie oparte na ryzyku daje możliwość dostosowania metod uwierzytelniania na bieżąco, w zależności od poziomu ryzyka. Jako narzędzie oceny ryzyka, RBA podejmuje również natychmiastowe decyzje o tym, które metody uwierzytelniania należy stosować i w jakich kombinacjach.

Jak wspomniano powyżej, instytucje finansowe często polegały na słabym uwierzytelnianiu, takim jak hasło lub jednorazowy kod wysyłany za pomocą wiadomości tekstowej SMS. Jednak postępy w dziedzinie oszustw, złośliwego oprogramowania i strategii ataków wymagają bardziej czujnej ochrony. W rezultacie, banki zwracają się w stronę uwierzytelniania opartego na ryzyku, gdzie klient może zostać poproszony o wykonanie wyzwania uwierzytelniającego, w zależności od poziomu ryzyka tego, co próbuje zrobić. Na przykład, jeśli ktoś próbuje przelać 90% środków dostępnych na koncie bankowym za pomocą nieznanego systemowi urządzenia i o porze dnia, która nie pasuje do historycznych wzorców klienta, zostanie poproszony o dalszą weryfikację swojej tożsamości za pomocą dodatkowego uwierzytelnienia, takiego jak jednorazowy kod dostępu wraz ze skanem odcisku palca lub biometrii twarzy. Zastosowanie RBA może zidentyfikować ryzykowne próby logowania i w razie potrzeby całkowicie odmówić dostępu lub transakcji.

W jaki sposób określa się punktację ryzyka w programie RBA

Ocena ryzyka jest kluczem do uwierzytelniania opartego na ryzyku. Ocena ryzyka jest tworzona na podstawie szeregu czynników związanych z próbą dostępu lub próbą przeprowadzenia transakcji.

Przykładowo, RBA analizuje setki, a nawet tysiące punktów danych, takich jak urządzenie klienta, adres IP, geolokalizacja, sieć, pora dnia i sama transakcja. Dane te są wykorzystywane do tworzenia w czasie rzeczywistym oceny ryzyka transakcji. W zależności od wyniku oceny ryzyka, RBA może w razie potrzeby uruchomić natychmiastowe wyzwanie uwierzytelniające. Ocena ryzyka może również uwzględniać historię incydentów bezpieczeństwa, liczbę logowań oraz wrażliwość danych, do których użytkownik ma dostęp. Powodem, dla którego ocena ryzyka opiera się na kombinacji wielu kontekstowych i innych punktów danych jest fakt, że jeden punkt danych może być i będzie pokonany przez atakującego. Wiele wniosków o dostęp nie przekracza jednak zdefiniowanych progów ryzyka i nie wymaga dodatkowego uwierzytelniania.

Rola biometrii w programie RBA

Uwierzytelnianie biometryczne jest coraz częściej stosowane w mobilnych aplikacjach bankowych w celu zapewnienia bezpieczeństwa i wygody użytkowania. Cyfrowi klienci uważają za oczywiste, że ich transakcje będą przebiegać bezproblemowo i bezpiecznie. Wiele skradzionych haseł i nazw użytkownika jest sprzedawanych w Internecie, a wiele osób ponownie używa haseł, co sprawia, że są one mniej bezpieczną metodą uwierzytelniania. Jednak podanie hasła wraz z odciskiem palca jest znacznie bezpieczniejszą techniką uwierzytelniania. Wykorzystanie biometrii zostało spopularyzowane przez TouchID firmy Apple, a wsparcie dla biometrii wykracza poza skanowanie linii papilarnych do skanowania twarzy i skanowania tęczówki lub siatkówki oka. Użytkownicy mają możliwość wyboru metody uwierzytelniania, która jest dla nich najłatwiejsza w danej sytuacji lub metody, która daje im poczucie największego bezpieczeństwa.     

Aby pomóc w uwierzytelnianiu coraz bardziej mobilnej bazy klientów, można zastosować biometrię behawioralną, aby dowiedzieć się, w jaki sposób klient pisze na klawiaturze, trzyma telefon lub przeciąga palcem, która ręka jest używana oraz jaki jest rytm naciskania klawiszy. Biometria behawioralna dostarcza ciągłego sygnału o autentyczności użytkownika i w związku z tym może być trudna do pokonania przez oszustów w tym momencie

Rekomendacje analityków dla rozwiązania uwierzytelniania opartego na ryzyku

Firma Forrester, zajmująca się badaniem rynku, zauważa, że uwierzytelnianie oparte na analizie ryzyka jest bardziej niż kiedykolwiek istotne dla instytucji finansowych, ponieważ transakcje internetowe i mobilne są coraz bardziej popularne. Forrester twierdzi, że zdolność do zmniejszenia niedogodności i kłopotów dla klientów bez poświęcania bezpieczeństwa jest czynnikiem wyróżniającym na tle konkurencji. Firma zajmująca się badaniami rynku twierdzi również, że aby wygenerować jak najdokładniejszą ocenę ryzyka, system antyfraudowy musi być w stanie przeanalizować jak najwięcej danych dotyczących użytkowników, urządzeń i transakcji w kanałach cyfrowych.

Oceniając rozwiązania RBA, Forrester sugeruje również poszukiwanie dostawców, którzy dostarczają szablony reguł dotyczących nadużyć, które zwiększą dokładność wyników oceny ryzyka. System antyfraudowy powinien zapewniać przejrzystość co do tego, w jaki sposób i dlaczego te reguły dotyczące nadużyć są uruchamiane w kanałach cyfrowych. Ponadto, konieczne jest, aby system pokazał, w jaki sposób uczenie maszynowe uzupełni reguły oszustwa, aby wykryć wzorce zachowań, które odbiegają od normalnego zachowania klienta i mogą wskazywać na pojawiające się metody oszustwa.

Upewnij się również, że rozwiązanie oferuje więcej niż tylko analizę ryzyka nadużyć. Upewnij się, że może on nie tylko zbierać i analizować dane, ale także w razie potrzeby poprosić użytkownika o wykonanie wyższego wyzwania uwierzytelniającego.

Skontaktuj się z nami

Skontaktuj się z jednym z naszych ekspertów ds. bezpieczeństwa, aby dowiedzieć się więcej o tym, jak nasze rozwiązania mogą pomóc w Twoich potrzebach w zakresie bezpieczeństwa cyfrowego