Autenticação Forte

O que é autenticação forte?

A autenticação forte usa autenticação multi-factor (MFA) para autenticar a identidade de um cliente durante o login e a autorização da transação. Também utiliza a autenticação baseada no risco (RBA) para ajudar a prevenir fraudes, determinando o nível de risco para cada transação bancária online ou móvel e qual o nível de autenticação necessário para cada transação.

Como funciona a autenticação forte?

Primeiro, a autenticação multi-factor (AMF) utiliza três factores comuns:

  • Algo que você sabe: A autenticação mais comum é "algo que você sabe". Pode ser uma senha ou um simples número de identificação pessoal (PIN). No entanto, é também o mais fácil para os fraudadores baterem.
  • Algo que você tem: O fator "algo que você tem" se refere a itens como um dispositivo móvel ou fichas autenticadoras de hardware, que geram um único uso, senha de uso único (OTP). A autenticação do hardware fornece autenticação de dois fatores (2FA). Opções baseadas no telemóvel, tais como uma notificação push e um código de acesso único (OTP), também fornecem 2FA.
  • Algo que você é: A biometria é o fator "algo que você é" e pode ser impressões digitais ou varreduras faciais e fazem parte da mudança para logins sem senha, especialmente em bancos móveis. Há também uma série de laptops disponíveis com sensores de impressão digital, e eles também estão disponíveis em unidades flash USB.

Para conseguir a autenticação multi-factor, pelo menos duas tecnologias diferentes de pelo menos dois grupos tecnológicos diferentes devem ser usadas para o processo de autenticação. Um cliente usando um PIN com reconhecimento facial como segundo fator estaria usando o AMF. No entanto, um cliente que utiliza um PIN associado a uma senha estaria a utilizar autenticação de dois factores (2FA) e não autenticação multi-factor.

Os clientes pressionados pelo tempo querem cada vez mais uma autenticação sem atritos. Em outras palavras, eles querem ser verificados sem a necessidade de realizar a verificação de fato. A implementação do AMF ajuda a prevenir a fraude porque as senhas e os nomes de usuário são considerados segurança fraca. Senhas e nomes de usuário são fáceis de roubar e explorar e estão à venda na Rede Escura à espera de serem comprados por criminosos.

Segundo, a autenticação baseada no risco (RBA) faz parte da autenticação forte:

A autenticação baseada em risco ajuda a evitar a tomada de conta e outros ataques de fraude com o uso da aprendizagem da máquina e de um motor de risco. O RBA analisa milhares de pontos de dados, tais como o dispositivo do cliente, endereço IP, localização, rede, hora do dia e a própria transação para produzir uma pontuação de risco em tempo real. Dependendo da pontuação do risco, a autenticação baseada no risco pode desencadear um desafio imediato de autenticação, se necessário. Uma pontuação de risco também pode incluir o histórico de incidentes de segurança do usuário, o número de logins e a sensibilidade dos dados acessados. A razão pela qual uma pontuação de risco é baseada em uma combinação de muitos pontos contextuais e outros pontos de dados é porque um ponto de dados por si só pode e será batido por um atacante. A autenticação baseada em risco também é conhecida como autenticação adaptativa ou autenticação escalonada e faz uso de autenticação multi-factor quando necessário.

Aqui está um exemplo de autenticação baseada no risco que determina que uma transação é de baixo risco: um cliente legítimo entra em seu portal bancário com um dispositivo conhecido que foi registrado no banco e está usando o mesmo navegador que eles normalmente usam. O cliente está a verificar o seu saldo ou a fazer um pequeno pagamento. Neste caso, o sistema determina que o risco de fraude é tão baixo que o cliente não precisa de voltar a autenticar depois de ter feito o login.

Entretanto, quando o comportamento do cliente se desviar de sua atividade normal, o sistema baseado no risco adicionará mais mecanismos de autenticação, resultando em mais obstáculos de segurança para transações mais arriscadas, como uma transferência bancária. Neste caso, o cliente seria solicitado a autenticar-se de uma forma ou de outra, por exemplo, com uma impressão digital acompanhada de um código de acesso único, que seria a autenticação multi-factor. Se tivessem sucesso, continuariam com os seus negócios. Caso contrário, a transação seria cancelada.

Como observado, senhas estáticas e nomes de usuário não fornecem mais segurança suficiente, dada a constante evolução da ameaça paisagística e das violações regulares de dados. A autenticação baseada em risco usando autenticação multi fator, permite às instituições financeiras suportar elementos de autenticação como aplicativos móveis e tokens de hardware, que são algo que você tem. Também suporta biometria, tais como impressões digitais e varreduras faciais que são algo que você é, e suporta o elemento que você conhece, como um PIN.

Diferentes tipos de tecnologias de autenticação de factores  multi

  • Fichas de hardware: Dispositivos de hardware pequenos e fáceis de usar, tais como chaveiros ou smart cards, que um proprietário carrega consigo para autorizar o acesso a um serviço de rede. Eles suportam autenticação forte com senhas de uso único (OTPs). Os tokens de hardware fornecem o fator de posse para autenticação multi-fator. Eles são desafiadores para invadir e manipular fisicamente, ajudam na proteção de dados porque os dados dos clientes não são armazenados, e são menos vulneráveis a ataques.
  • Soft tokens: Os tokens baseados em software ou aplicativos geram um PIN de login de uso único. Estes tokens são frequentemente utilizados para autenticação multi-factor em que o smartphone fornece o factor "posse", ou algo que você tem. Os tokens suaves aliviam a necessidade de lembrar senhas, podem acompanhar as inovações tecnológicas e podem reduzir o tempo de embarque de dias para minutos para o usuário final.
  • Notificações push: As notificações push fornecem o código de autenticação ou senha única através de uma notificação push no dispositivo móvel da pessoa. Em vez de receber uma mensagem SMS, a notificação push aparece na tela de bloqueio do dispositivo da pessoa.
  • Criptograma visual: Um criptograma visual como o Cronto® é uma solução de autenticação multi-fator que utiliza um desafio visual único que está contido em um criptograma gráfico, que consiste em uma matriz de pontos coloridos. O cliente usa a câmara do seu dispositivo móvel para digitalizar o criptograma e desencriptar os detalhes da transacção dentro dele.
  • Autenticação móvel: A autenticação móvel fornece uma forma de verificar um cliente através do seu telefone ou verificar o próprio dispositivo, permitindo que o cliente faça login em locais seguros e acesse recursos de qualquer lugar com maior segurança.
  • Autenticação biométrica: A autenticação biométrica inclui o uso de uma digitalização de impressões digitais ou reconhecimento facial no processo de autenticação para autenticar com precisão e segurança os clientes normalmente nos seus dispositivos móveis, bem como autenticação comportamental que fornece segurança nos bastidores que os autentica continuamente pela forma única como interagem com os seus dispositivos. Isso inclui a cadência de suas teclas, seus padrões de golpes, e muito mais.

Quão forte a autenticação ajuda a prevenir fraudes

Métodos fortes de autenticação podem ajudar a diminuir os ataques de fraude devido à autenticação multi-factor e à autenticação baseada no risco.

A autenticação multi-factor torna mais difícil para os fraudadores entrar na conta de um cliente devido a três factores de autenticação para validação: algo que você sabe, algo que você tem e algo que você é. O AMF adiciona segurança adicional quando o dispositivo do cliente não é reconhecido, por exemplo, ou se o cliente está tentando fazer uma transação a partir de um local incomum. Também ajuda a prevenir alguns dos ciberataques mais comuns, incluindo phishing, recheio de credenciais, ataques "man-in-the-middle" e keyloggers. Um ataque de phishing pode resultar em roubar as credenciais de uma pessoa, mas não fornecerá ao hacker uma impressão digital, por exemplo. O uso de autenticação multi-factor não impede todos os tipos de ataques, mas acrescenta camadas adicionais de autenticação forte que podem tornar os ataques cibernéticos mais difíceis. Se um fator for comprometido ou quebrado, o atacante ainda tem pelo menos mais uma barreira para quebrar antes de poder ter acesso à conta de um cliente.

A autenticação baseada em risco também ajuda a prevenir fraudes, porque o sistema de prevenção de fraudes toma decisões em tempo real sobre o nível preciso de segurança de autenticação que é necessário para cada transação do cliente para evitar o acesso não autorizado. É difícil para um fraudador fazer-se passar por um cliente legítimo porque o RBA se baseia na visão contextual do comportamento da pessoa, dos dados da transação e dos dados do dispositivo, por exemplo.

Com o tempo, a pontuação de risco torna-se um indicador mais fiável do compromisso de contas e de quaisquer padrões de fraude emergentes. Como ferramenta de avaliação de risco, o RBA também toma decisões instantâneas sobre quais métodos de autenticação usar e em que combinações ajudar a prevenir fraudes. Aqui está um exemplo de autenticação baseada no risco em acção: se alguém tentar transferir 90% dos fundos disponíveis numa conta bancária utilizando um dispositivo desconhecido e não registado no banco e numa altura do dia que não corresponda aos padrões históricos do cliente, ser-lhe-ia pedido que verificasse ainda mais a sua identidade com uma autenticação forte, tal como um código de passe único acompanhado de uma digitalização de impressões digitais ou biometria facial. Além disso, o uso do RBA pode identificar tentativas de login arriscadas e negar o acesso ou transações completamente, se necessário.

A autenticação forte afasta as instituições financeiras da dependência de senhas, que são facilmente hackeadas e são uma causa chave de violações de segurança e fraude de contas. Parte do problema com senhas é que os métodos modernos de fraude são tão sofisticados que uma senha não tem praticamente nenhuma esperança de evitá-los.

Benefícios de uma autenticação forte?

A autenticação forte oferece maior segurança em relação à autenticação de usuário com um único fator desatualizado. À medida que os bancos adicionam novos serviços online e novas formas de servir os seus clientes cada vez mais móveis, uma autenticação forte pode ajudar a acompanhar os desafios de segurança e fornecer a experiência menos intrusiva possível para os clientes.

É também uma condição vencedora que pode ajudar a desbloquear a lealdade e, em última análise, levar ao crescimento, porque é uma experiência suave e segura para os clientes. Os clientes têm pouca paciência para demasiadas camadas de autenticação e simplesmente não querem gastar muito tempo a aceder às suas contas. Como parte da transformação digital de um banco, a autenticação forte também elimina etapas desnecessárias de verificação de identidade. Aplica a quantidade precisa de segurança no momento certo para cada transação com base no nível de risco, proporcionando uma experiência suave se for necessária uma segurança extra. A experiência do cliente tem um impacto direto na retenção, e estudos demonstraram que os clientes que podem facilmente interagir com sua instituição financeira em qualquer lugar e a qualquer momento são menos propensos a mudar para outra instituição financeira. Como mencionado, a autenticação forte também ajuda as instituições financeiras a reduzir as perdas por fraude.

Conformidade

A Autenticação Forte do Cliente (SCA) é um novo requisito da Directiva revista relativa aos Serviços de Pagamento (PSD2), que acrescenta camadas adicionais de segurança aos pagamentos electrónicos. Por exemplo, o AMF é necessário para satisfazer a sua forte exigência de autenticação. O PSD2 também exige o uso de análise de risco de transação para evitar pagamentos fraudulentos.

O que dizem os analistas

A empresa de pesquisa de mercado Forrester observa que a autenticação baseada no risco, parte da autenticação forte, é mais relevante do que nunca para as instituições financeiras porque as transações online e móveis são cada vez mais populares. Forrester diz que a capacidade de reduzir os inconvenientes e as complicações para os clientes sem sacrificar a segurança é um diferencial competitivo. A empresa de pesquisa de mercado também diz que para gerar a pontuação de risco mais precisa possível, um sistema anti-fraude deve ser capaz de analisar o máximo possível de dados de usuários, dispositivos e transações através de canais digitais.

Entre em contato conosco

Entre em contacto com um dos nossos especialistas em segurança para saber mais sobre como as nossas soluções podem ajudar nas suas necessidades de segurança digital