O que é autenticação fora da banda?
A autenticação fora da banda é um tipo de autenticação de dois factores (2FA) que requer um método de verificação secundário através de um canal de comunicação separado. Envolve dois canais diferentes: a ligação à Internet do cliente e a rede sem fios em que o seu telemóvel opera. A possibilidade de dois canais, Internet e rede móvel sem fio do cliente, serem comprometidos ao mesmo tempo por um atacante enquanto o cliente está tentando fazer login ou fazer uma transação é significativamente reduzida, em comparação com uma tentativa de login em um sistema de banda única.
A autenticação out-of-band (OOB) é utilizada por instituições financeiras e outras organizações com elevados requisitos de segurança para impedir o acesso não autorizado. O OOB ajuda a melhorar a segurança cibernética porque torna o hacking de uma conta mais difícil devido a dois canais de autenticação separados e não conectados que precisariam ser comprometidos simultaneamente para que um atacante ganhasse acesso.
Como funciona a autenticação fora da banda
Em um sistema de autenticação fora da banda (OOBA), o canal que é usado para autenticar um cliente é completamente separado do canal usado pelo cliente para fazer o login ou realizar uma transação. A autenticação fora da banda é um tipo de autenticação de dois fatores (algo que você conhece, como uma senha e algo que você tem, que é o seu dispositivo móvel), em vez de autenticação multi-fator (MFA). Por exemplo, um cliente que queira fazer uma transação bancária on-line em seu desktop receberá uma senha única (OTP) via SMS ou notificação push em seu dispositivo móvel, o que envolve dois canais diferentes - a Internet e uma rede sem fio. A utilização de um canal separado diminui a possibilidade de ataques de Man-in-the-Middle e outros ataques devido a quebras de dados.
Que autenticação fora da banda é enviada para dispositivos móveis?
Os códigos de acesso fora da banda podem ser entregues de várias formas em dispositivos móveis:
Exemplo de autenticação fora da banda 1: notificações push
As notificações push fornecem um código de autenticação ou OTP através de uma notificação que aparece na tela de bloqueio do dispositivo móvel de um cliente.
Exemplo 2 de autenticação fora da banda: códigos cronto
Um código Cronto® ou tipo QR pode autenticar ou autorizar uma transação financeira. O cliente verá um criptograma gráfico que se assemelha a um código QR, exibido através de um navegador web. Somente o dispositivo registrado do cliente pode ler o código Cronto, o que o torna muito seguro. Quando você deseja realizar uma transação, você insere os dados de pagamento na aplicação bancária online no navegador. Você verá então o código do tipo QR e o escaneará usando a câmera do seu telefone. O seu dispositivo irá descodificá-lo, descodificar os dados de pagamento e mostrar-lhos-á no seu telemóvel em texto simples. Ele fornece proteção e segurança de dados. Além disso, esta abordagem cumpre os requisitos de ligação dinâmica delineados nas Normas Técnicas Regulamentares da União Europeia (PSD2) da Directiva revista sobre serviços de pagamento.
Exemplo de autenticação fora da banda 3: autenticação de voz
A autenticação por voz faz uma chamada para o cliente para lhe dizer que existe um pedido de login para ser aprovado ou rejeitado. Normalmente, o cliente pode pressionar um botão ou uma tecla, conforme instruído, para aceitar o pedido ou recusá-lo, desligando-o.
Exemplo de autenticação fora da banda 4: leitor biométrico em um laptop
Um leitor biométrico em um laptop pode ser considerado como uma forma de realizar autenticação fora da banda desde que implemente um canal de comunicações separado que não seja acessível a partir do ambiente operacional do canal primário de comunicações.
Como a autenticação fora da banda ajuda a prevenir fraudes e ciberataques
Quando uma transação de alto risco é marcada pelo mecanismo de risco de um banco, ela fornece uma pontuação que reflete a propensão à fraude com base em algoritmos. Uma pontuação de risco mais alta aciona etapas de autenticação mais altas ou requisitos de segurança adicionais, como autenticação fora da banda, para desafiar o cliente a reconfirmar a transação (o que geralmente envolveria uma grande quantidade de dinheiro). O motor de risco e a pontuação relacionada podem desencadear uma mudança no fluxo de trabalho de autenticação, para enviar um OTP para o dispositivo móvel de confiança de um cliente para verificação adicional.
Com OOB, o elemento de posse é o telemóvel onde o utilizador recebe um código de autenticação. O elemento conhecimento ou herança é inserido:
- O dispositivo bancário para a autenticação de dois dispositivos (desktop e móvel)
- Ou um dispositivo móvel para autenticação de dois aplicativos (dois aplicativos diferentes rodando no mesmo dispositivo móvel)
- Ou uma autenticação de aplicativo móvel onde o cliente usa um único dispositivo e um único aplicativo para iniciar e autenticar transações.
A autenticação fora da banda frustra o homem no meio dos ataques
A OOB também ajuda as instituições financeiras a reduzir os ataques de malware. Por exemplo, o OOB pode ajudar a prevenir ataques de Man-in-the-Middle, nos quais os fraudadores se posicionam entre a instituição financeira e o usuário para interceptar, editar, enviar e receber comunicações sem serem notados. Por exemplo, eles podem assumir o canal de comunicação entre o dispositivo do usuário e o servidor do banco, configurando uma rede Wi-Fi maliciosa como um hotspot público.
Mesmo que o cliente esteja na sua rede celular, tal ataque seria evitado porque o fraudador só teria acesso a um dos canais. Como mencionado anteriormente, a autenticação fora da banda torna os ataques muito mais desafiadores para hackers ou fraudadores, pois eles precisam ser capazes de assumir o controle de ambos os canais de comunicação separados. simultaneamente, a fim de comprometer o processo de autenticação do usuário. A autenticação fora da banda é uma ferramenta crítica para as instituições financeiras combaterem a fraude.
Conformidade regulamentar
A autenticação fora da banda ajuda as organizações a cumprir os requisitos da Segunda Directiva de Serviços de Pagamento da União Europeia (PSD2), especificamente o Artigo 97, que exige que os prestadores de serviços de pagamento autentiquem um utilizador quando o fazem:
- Aceder a uma conta de pagamento online
- Iniciar uma transação de pagamento eletrônico
- Realizar qualquer ação através de um canal remoto que possa envolver risco de fraude de pagamento
- Cumpre também a conformidade da GDPR em matéria de protecção de dados e privacidade
A autenticação fora da banda cumpre os requisitos do NIST, o Instituto Nacional de Normas e Tecnologia. Em 2016, o NIST propôs "depreciar" a autenticação por SMS de dois fatores devido a vulnerabilidades como um fator fora da banda em ambientes de autenticação multi-fator. Devido à confusão sobre o termo depreciar e se a autenticação de dois fatores SMS era permitida ou não, a NIST mudou suas diretrizes em 2017 e determinou que o SMS se enquadrava na categoria "restrito", onde clientes e organizações estariam assumindo um risco usando o SMS 2FA. No entanto, uma abordagem de autenticação fora da banda, como um OTP baseado em push (envio de um código para um dispositivo móvel através de um aplicativo como o Google Authenticator), que é criptografado e não entregue através do canal SMS, evita as vulnerabilidades das mensagens SMS.
O que dizem os analistas sobre a autenticação fora da banda
Segundo a Allied Market Research, o "aumento do volume de transações online, o aumento contínuo das ameaças avançadas e complexas são alguns dos principais fatores que impulsionaram o crescimento do mercado de autenticação fora da banda". No entanto, os riscos incluídos na autenticação OOB com SMS e associação de alto custo de produto restringem o crescimento do mercado. O mercado global de autenticação fora da banda foi avaliado em 274 milhões de dólares em 2016 e prevê-se que atinja 1,1 mil milhões de dólares em 2023, crescendo a uma taxa CAGR de 22,8% de 2017 a 2023.
Pesquisa e Mercados observa que "OOB é uma ferramenta poderosa usada para prevenir fraudes, pois o software de autenticação OOB funciona com um canal de comunicação seguro". Para transacções de alto risco, as empresas utilizam esta tecnologia para verificar e autenticar a identidade de um utilizador. A tecnologia é utilizada para autenticação tanto para transações financeiras como não financeiras". Os analistas prevêem que o mercado global de software de autenticação OOB para 2016-2020 cresça a uma CAGR de 23,57% durante o período 2016-2020.