Autenticação baseada em Risco

O que é autenticação baseada em risco?

A autenticação baseada em risco (RBA) ajuda a prevenir fraudes determinando o nível de risco para cada transação financeira e qual nível de autenticação do cliente é necessário para cada transação. O RBA ajuda a evitar a fraude de controle de conta e outros tipos de ataques de fraude online e móvel, combinando a autenticação com o nível de risco envolvido. As tecnologias tradicionais de gerenciamento de identidade e acesso não são mais suficientes devido ao cenário de ameaças em constante evolução e às violações de dados regulares. A autenticação baseada em risco também é conhecida como autenticação adaptativa ou autenticação de avanço.

No passado, muitas organizações confiavam em um tipo de autenticação para todos os clientes e transações: senhas estáticas e nomes de usuário. Isso é conhecido como autenticação binária. Senhas e nomes de usuário são considerados segurança fraca porque são muito fáceis de serem roubados e explorados por fraudadores. Por outro lado, a autenticação baseada em risco é uma forma de autenticação forte porque fornece contexto para o usuário e sua transação para determinar o nível de risco e a suscetibilidade de fraude. Em casos de transação de alto risco, o usuário é solicitado a fornecer autenticação adicional para confirmar sua identidade.

Os 3 fatores de autenticação

Existem três fatores comuns usados para autenticação:

  1. Algo que você sabe
  2. Algo que você tem
  3. Algo que você é

A autenticação mais comum é algo que você conhece e pode ser uma senha ou um simples número de identificação pessoal (PIN). No entanto, também é o mais fácil para os fraudadores vencerem.

O fator algo que você tem refere-se a itens como um dispositivo móvel ou tokens de autenticação de hardware, que geram uma senha única de uso único. A autenticação de hardware fornece autenticação de dois fatores (2FA). As opções baseadas em smartphone, como uma notificação push e uma senha descartável (OTP), também oferecem uma verificação multifatorial.

A biometria é o fator “algo que você é” e pode ser impressões digitais, varreduras faciais ou análise de voz e são parte de uma mudança para logins sem senha. Existem vários laptops e telefones disponíveis com sensores de impressão digital, e eles também estão disponíveis em unidades flash USB.

Os três fatores de autenticação são frequentemente combinados para fornecer segurança mais forte para impedir os fraudadores. A combinação de uma leitura de impressão digital com uma senha única fortalece a segurança e é um exemplo de autenticação multifator (MFA).

The Forrester Wave™, Risk-Based Authentication, Q2 2020 Report
Analyst Report

The Forrester Wave™, Risk-Based Authentication, Q2 2020 Report

Download this new Forrester report for a deeper understanding of OneSpan’s Intelligent Adaptive Authentication solution and how it improves the customer experience, helps mitigate fraud, and meets key risk-based authentication (RBA) requirements.

Download Now


A importância da autenticação baseada em risco

A autenticação baseada em risco pode ajudar a evitar o acesso não autorizado à conta e o roubo de fundos ou dados de informações de identificação pessoal. É um elemento-chave para melhorar a experiência e retenção do usuário final, pois torna a experiência do banco digital mais fácil e segura para clientes legítimos - e mais difícil para os fraudadores. O acesso não autorizado aos dados do cliente é uma ameaça à marca, reputação e postura competitiva de uma instituição financeira.

Como a autenticação baseada em risco reduz o atrito para os clientes

A autenticação adaptável reduz o atrito para os clientes, ao mesmo tempo que ajuda a evitar o controle de contas e outros tipos de ataques de fraude. Ele aproveita as medidas de segurança que acontecem em segundo plano, em tempo real, enquanto o cliente cuida de seus negócios. O RBA aplica o nível preciso de segurança para cada interação exclusiva com o cliente e evita etapas de segurança desnecessárias para transações de baixo risco, que podem aumentar a fricção do usuário. Um bom exemplo é o login de um cliente legítimo no portal bancário com um dispositivo conhecido que foi registrado no banco, usando o mesmo navegador que costumam fazer. Eles estão realizando uma ação de baixo risco, como verificar o saldo ou fazer um pequeno pagamento. Nesse caso, o sistema determina que o risco de fraude é tão baixo que eles não precisam se autenticar novamente depois de fazer login. Somente quando o comportamento do usuário se desvia da atividade normal são adicionados desafios de autenticação adicionais, resultando em maiores obstáculos de segurança para transações mais arriscadas, como uma transferência bancária. O cliente seria solicitado a se autenticar de uma forma ou de outra e, se fosse bem-sucedido, continuaria com seus negócios.

Blog icon
Blog

How Risk-based Authentication Cuts Fraud Losses and Improves Customer Satisfaction

Read More


Como a autenticação baseada em risco pode impulsionar o crescimento e a fidelidade

A autenticação baseada em risco é a chave para desbloquear o crescimento e a fidelidade do cliente para os bancos, pois reduz muito o atrito para fornecer uma melhor experiência ao cliente. Como parte da transformação digital de um banco, ele reduz as etapas desnecessárias de verificação de identidade e aplica a quantidade exata de segurança no momento certo para cada transação com base no nível de risco. A experiência do usuário tem um impacto direto na retenção do cliente. Estudos mostraram que os clientes que têm a capacidade de interagir facilmente com suas instituições financeiras em qualquer lugar e a qualquer momento têm menos probabilidade de mudar. Ao mesmo tempo, o uso da autenticação baseada em risco pode ajudar os bancos e outras instituições financeiras a reduzir as perdas por fraude.

Por que a autenticação baseada em risco é uma ferramenta de segurança essencial

A autenticação baseada em risco é uma ferramenta de segurança essencial porque funciona em tempo real para ajudar a prevenir a fraude cibernética, sem incomodar os clientes legítimos.

Enquanto o sistema de prevenção de fraude gera a pontuação de risco da transação, a autenticação baseada em risco oferece a capacidade de ajustar os métodos de autenticação em tempo real, de acordo com o nível de risco. Como uma ferramenta de avaliação de risco, o RBA também toma decisões instantâneas sobre quais métodos de autenticação usar e em quais combinações.

Conforme mencionado acima, as instituições financeiras sempre confiaram em uma autenticação fraca, como uma senha ou um código único enviado por mensagem de texto SMS. No entanto, os avanços nas estratégias de fraude, malware e ataque exigem uma segurança mais vigilante. Como resultado, os bancos estão recorrendo à autenticação baseada em risco, em que um cliente pode ser solicitado a realizar um desafio de autenticação, dependendo do nível de risco do que está tentando fazer. Por exemplo, se alguém tentar transferir 90% dos fundos disponíveis em uma conta bancária usando um dispositivo desconhecido para o sistema e em uma hora do dia que não corresponda aos padrões históricos do cliente, será solicitado que faça uma verificação adicional sua identidade com autenticação adicional, como um código de acesso único acompanhado por uma leitura de impressão digital ou biométrica facial. O uso de RBA pode identificar tentativas de login arriscadas e negar acesso ou transações completamente, se necessário.

Como as pontuações de risco são determinadas no RBA

As pontuações de risco são essenciais para a autenticação baseada em risco. Uma pontuação de risco é criada a partir de vários fatores relacionados a uma tentativa de acesso ou de realizar uma transação.

Por exemplo, o RBA analisa centenas e até milhares de pontos de dados, como o dispositivo do cliente, endereço IP, geolocalização, rede, hora do dia e a própria transação. Esses dados são usados para produzir uma pontuação de transação de risco em tempo real. Dependendo da pontuação de risco, o RBA pode acionar um desafio de autenticação imediato, se necessário. Uma pontuação de risco também pode incluir o histórico de incidentes de segurança do usuário, o número de logins e a confidencialidade dos dados a serem acessados. A razão pela qual uma pontuação de risco é baseada em uma combinação de muitos pontos de dados contextuais e outros é porque um ponto de dados por si só pode e será vencido por um invasor. No entanto, muitas solicitações de acesso ficam abaixo dos limites de risco definidos e não exigem autenticação adicional.

O papel da biometria na RBA

A autenticação biométrica está cada vez mais sendo usada em aplicativos de mobile banking para segurança e para fornecer uma experiência de usuário conveniente. Os clientes digitais têm como certo que suas transações serão fáceis e seguras. Muitas senhas e nomes de usuário roubados são vendidos online e muitas pessoas reutilizam senhas, o que os torna uma opção de autenticação menos segura. No entanto, enviar uma senha junto com uma impressão digital é muito mais seguro como técnicas de autenticação. O uso da biometria foi popularizado pelo TouchID da Apple e o suporte para biometria está indo além das varreduras de impressão digital para varreduras de rosto e íris ou retina. Os usuários podem escolher o método de autenticação mais fácil para eles em uma situação específica ou o método que os faz sentir mais seguros.     

Para ajudar a autenticar uma base de clientes cada vez mais móvel, a biometria comportamental pode ser aplicada para aprender como um cliente digita, segura o telefone ou passa o dedo, qual mão está sendo usada e o ritmo de pressionamento das teclas. A biometria comportamental fornece um sinal contínuo sobre a autenticidade do usuário e, como resultado, pode ser difícil para os fraudadores derrotar neste momento.

Recomendações de analistas para uma solução de autenticação baseada em risco

A empresa de pesquisa de mercado Forrester observa que a autenticação baseada em risco é mais relevante do que nunca para as instituições financeiras porque as transações online e móveis estão cada vez mais populares. A Forrester diz que a capacidade de reduzir a inconveniência e o incômodo para os clientes sem sacrificar a segurança é um diferencial competitivo. A empresa de pesquisa de mercado também afirma que, para gerar a pontuação de risco mais precisa possível, um sistema antifraude deve ser capaz de analisar o máximo possível de dados de usuários, dispositivos e transações nos canais digitais.

Ao avaliar as soluções de RBA, a Forrester também sugere procurar fornecedores que forneçam modelos de regras de fraude que aumentarão a precisão de suas pontuações de risco. Um sistema antifraude deve fornecer transparência sobre como e por que essas regras de fraude são acionadas nos canais digitais. Além disso, é necessário que o sistema mostre como o aprendizado de máquina complementará as regras de fraude para detectar padrões de comportamento que se desviam do comportamento normal de um cliente e podem ser indicativos de métodos de fraude emergentes.

Além disso, certifique-se de que a solução faça mais do que apenas análises de risco de fraude. Certifique-se de que ele não apenas reúna e analise dados, mas peça ao usuário para concluir um desafio de autenticação superior, se necessário.

Entre em contato conosco

Entre em contato com um de nossos especialistas em segurança para saber mais sobre como nossas soluções podem ajudar com suas necessidades de segurança digital