Co to jest token bankowy?
Token bankowy może być łatwym w użyciu urządzeniem, takim jak token sprzętowy, breloczek, klucz USB lub karta inteligentna. Może to być również token miękki, taki jak samodzielna aplikacja uwierzytelniająca ze sklepu z aplikacjami, która jest zainstalowana na urządzeniu mobilnym lub zintegrowana z mobilną aplikacją bankową. Tokeny bankowe dostarczają kodów jednorazowych (OTP) w celu uwierzytelnienia użytkownika bankowości cyfrowej podczas logowania lub dokonywania transakcji finansowych. Tokeny bankowe, twarde i miękkie, mogą być używane jako część procesu uwierzytelniania dwu- lub wieloczynnikowego (2FA).
Większość banków i innych organizacji wymaga 2FA lub MFA dla bezpieczeństwa logowania, gdzie dwa lub więcej czynników uwierzytelniania są połączone w celu weryfikacji tożsamości. To może być:
- Coś, co wiesz, na przykład OTP lub odpowiedź na tajne pytanie
- Coś, co posiadasz, np. urządzenie mobilne
- Coś, czym jesteś, np. odcisk palca lub skan twarzy
Na przykład, telefon komórkowy może być używany do uwierzytelniania logowania, ponieważ jest to coś, co można połączyć z innym sposobem uwierzytelniania, takim jak miękki token, który może być aplikacją uwierzytelniającą, gdzie użytkownik jest proszony o naciśnięcie przycisku i OTP jest generowany na urządzeniu, aby osiągnąć 2FA. Można również użyć sprzętowego tokena bankowego, który wygeneruje jednorazowy kod dostępu, czyli coś, co znasz, aby zalogować się do swojego urządzenia, czyli coś, co posiadasz. Tokeny bankowe utrudniają przestępcom przeprowadzanie oszukańczych transakcji na cudzych kontach bankowych
Jak tokeny bankowe zwiększają bezpieczeństwo
Tokeny bankowe zapewniają silną ochronę klientom bankowości internetowej i mobilnej, ponieważ łączą one upoważnionego użytkownika z zarejestrowanym urządzeniem, co pomaga zapobiegać oszustwom. Jeśli klient zgubi swój smartfon, zazwyczaj dowiaduje się o tym niemal od razu. Jeśli używają miękkiego tokena bankowego, klient i bank mają możliwość szybkiego wyłączenia urządzenia, aby zapobiec nieautoryzowanemu dostępowi i oszustwom. W przypadku zgubienia sprzętowego tokena bankowego, klient może to również natychmiast zgłosić.
Tokeny sprzętowe (znane również jako sprzętowe urządzenia uwierzytelniające) pomagają również zapobiegać atakom socjotechnicznym, takim jak phishing, w których wykorzystuje się emocjonalne odwołania w wiadomościach e-mail lub tekstach, aby przekonać klientów do kliknięcia złośliwych załączników lub linków.
Wiele banków stosuje sprzętowe i programowe tokeny bankowe, które zastępują nazwy użytkowników i hasła. Poleganie wyłącznie na nazwach użytkowników i hasłach nie wystarcza do zapewnienia bezpieczeństwa kont klientów ze względu na regularnie pojawiające się przypadki naruszenia danych, wycieku informacji umożliwiających identyfikację osób (PII) oraz ataków polegających na przejęciu konta. Ponadto, tokeny programowe mogą również pomóc w zapobieganiu atakom phishingowym, które prowadzą do przejęcia konta
Webinar
Best Practices for Financial Organizations:
View this complimentary Bank Innovation webinar on-demand to hear from two security experts who will share soft token technology and industry trends and best practices for rolling out software-based authentication technology.
View the Webcast
Jak tokeny bankowe poprawiają doświadczenia klientów
Tokeny bankowe zapewniają bezpieczne doświadczenie klienta, ponieważ klienci nie muszą już śledzić haseł, zmniejszając niepotrzebne tarcia dla nich. Po pierwsze, miękkie tokeny są proste i przyjazne dla użytkownika; oczekuje się, że ich użycie wzrośnie ze względu na przyjęcie smartfonów i aplikacji mobilnych. Po drugie, niektórzy klienci mogą czuć się bardziej komfortowo używając twardych tokenów, ponieważ nie są tak obeznani z technologią. Ogólnie rzecz biorąc, wielu klientów chce zarówno twardych, jak i miękkich tokenów. Lubią i chcą wygody korzystania z urządzeń mobilnych, wiedząc, że jeśli coś pójdzie nie tak, np. zgubią lub ukradną telefon, albo jeśli padnie bateria, mają sprzętową kopię zapasową.
Banki przechodzą na tokeny programowe
Studium przypadku #1: Modernizacja uwierzytelniania za pomocą aplikacji z tokenami bankowymi
Wyzwanie: Amerykański bank EagleBank przeszedł na miękkie tokeny bankowe, ponieważ klienci coraz częściej wolą korzystać z usług bankowych za pomocą urządzeń mobilnych. Od 2017 roku EagleBank migruje od sprzętowych tokenów bankowych, które generują OTP, czyli kod tokena, dla czynności takich jak przelew czy inicjacja ACH dla płatności i depozytów elektronicznych. Bank, który oferuje usługi bankowości komercyjnej, rozwinął miękkie tokeny w 2018 roku.
EagleBank zdecydował się na uruchomienie niezależnej aplikacji do uwierzytelniania oprogramowania, nazwanej "EagleBank Soft Token App", zawierającej logo i kolory marki banku, aby pomóc w rozpoznawaniu klientów. Dzięki temu klienci nie muszą już zapamiętywać i ręcznie wpisywać numeru podczas uwierzytelniania, jak ma to miejsce w przypadku sprzętowego tokena bankowego. Nowi klienci są już obsługiwani przez aplikację EagleBank Soft Token App.
Rezultat: W ciągu pierwszych dziewięciu miesięcy od uruchomienia aplikacji 95% nowych klientów EagleBank zarejestrowało się, aby korzystać z aplikacji soft token. Bank skrócił również czas potrzebny na przyjęcie nowych klientów z dni do minut, dzięki zastosowaniu soft bank token.
CASE STUDY
Eaglebank Launches Software Authentication For New Customers
EagleBank faced two key challenges in their software authentication deployment: determining the right launch strategy and forming a policy for their existing customers. Learn how they overcame them in this case study.
Read MoreStudium przypadku #2: Uwierzytelnianie za pomocą programowych i sprzętowych tokenów bankowych
Wyzwanie: Bank of Cyprus od lat rozprowadzał tokeny sprzętowe wśród swoich klientów. Jednakże, gdy klienci zaczęli przechodzić na transakcje mobilne, przejście na miękkie tokeny bankowe stało się bardziej naglące. Bank zaczął używać miękkich tokenów i OTP specyficznych dla transakcji zgodnie ze zmienioną dyrektywą Unii Europejskiej w sprawie usług płatniczych (PSD2) dla usług płatności elektronicznych, aby zapewnić najwyższy możliwy poziom bezpieczeństwa.
Jako wiodąca grupa bankowo-finansowa na Cyprze, bank świadczy usługi w zakresie bankowości detalicznej i komercyjnej, bankowości inwestycyjnej oraz ubezpieczeń. W celu logowania do konta i dynamicznego łączenia, bank zdecydował się na wprowadzenie uwierzytelniania programowego zintegrowanego bezpośrednio z aplikacją bankowości mobilnej Bank of Cyprus. Dla klientów, którzy nie korzystają z aplikacji bankowości mobilnej, a mimo to dokonują płatności online, bank oferuje możliwość otrzymania kodu uwierzytelniającego OTP poprzez SMS (online) lub zeskanowanie kodu Cronto® (offline). Chociaż bank zaleca klientom zastąpienie sprzętowych tokenów bankowych miękkimi tokenami bankowymi, wiele transakcji jest nadal autoryzowanych (tj. dynamicznie łączonych) przy użyciu OTP z uwierzytelniaczy sprzętowych.
Wynik: Bank of Cyprus zauważył, że osoby, które zakupiły miękki token bankowy, nie chcą wracać do korzystania z uwierzytelniacza sprzętowego.
Znaczenie strategiczne
Tokeny bankowe, twarde i miękkie, pomagają zapewnić bezpieczne korzystanie z bankowości cyfrowej. Podczas gdy niektórzy klienci mogą preferować miękkie tokeny, twarde tokeny mogą być nadal używane jako kopia zapasowa lub w przypadku braku zasięgu sieci. Tokeny bankowe mogą zwiększyć lojalność i wzrost klientów ze względu na ich łatwe, ale bezpieczne doświadczenie w dostarczaniu silnego uwierzytelnienia klienta. Zastosowanie tokenów bezpieczeństwa może również dać klientom pewność, że mogą dokonywać transakcji bankowych o wyższej wartości w Internecie.