Риск-ориентированная аутентификация

Что такое аутентификация на основе рисков?

Аутентификация на основе рисков (RBA) помогает предотвратить мошенничество за счет определения уровня риска для каждой финансовой транзакции и того, какой уровень аутентификации клиента требуется для каждой транзакции. RBA помогает предотвратить мошенничество с захватом учетной записи и другие типы атак онлайн и мобильного мошенничества, сопоставив аутентификацию с уровнем риска. Традиционных технологий управления идентификацией и доступом уже недостаточно, учитывая постоянно меняющиеся угрозы и регулярные утечки данных. Аутентификация на основе рисков также известна как адаптивная аутентификация или повышающая аутентификация.

В прошлом многие организации полагались на один тип аутентификации для всех клиентов и транзакций: статические пароли и имена пользователей. Это известно как двоичная аутентификация. Пароли и имена пользователей считаются слабыми средствами защиты, потому что мошенники могут легко украсть и использовать их. С другой стороны, аутентификация на основе рисков - это форма строгой аутентификации, поскольку она дает контекст для пользователя и его транзакции для определения уровня риска и подверженности мошенничеству. В случае транзакции с высоким риском пользователю предлагается пройти дополнительную аутентификацию, чтобы подтвердить свою личность.

3 фактора аутентификации

Для аутентификации используются три общих фактора:

  1. Кое-что вы знаете
  2. Что-то у вас есть
  3. Что-то ты

Самая распространенная аутентификация - это то, что вы знаете, и это может быть пароль или простой личный идентификационный номер (PIN). Однако обмануть мошенников проще всего.

Фактор «что-то у вас есть» относится к таким элементам, как токены мобильного устройства или аппаратного аутентификатора, которые генерируют одноразовый одноразовый пароль. Аппаратная аутентификация обеспечивает двухфакторную аутентификацию (2FA). Функции для смартфонов, такие как push-уведомление и одноразовый пароль (OTP), также обеспечивают многофакторную проверку.

Биометрические данные - это фактор «того, что вы есть», они могут быть отпечатками пальцев, сканированием лица или анализом голоса и являются частью перехода к входу в систему без пароля. Существует ряд ноутбуков и телефонов с датчиками отпечатков пальцев, а также они доступны на USB-накопителях.

Три фактора аутентификации часто объединяются, чтобы обеспечить более надежную защиту от мошенников. Сочетание сканирования отпечатка пальца с одноразовым паролем повышает безопасность и является примером многофакторной аутентификации (MFA).

The Forrester Wave™, Risk-Based Authentication, Q2 2020 Report
Analyst Report

The Forrester Wave™, Risk-Based Authentication, Q2 2020 Report

Download this new Forrester report for a deeper understanding of OneSpan’s Intelligent Adaptive Authentication solution and how it improves the customer experience, helps mitigate fraud, and meets key risk-based authentication (RBA) requirements.

Download Now


Важность аутентификации, основанной на оценке риска

Аутентификация на основе рисков может помочь предотвратить несанкционированный доступ к учетной записи и кражу средств или данных, позволяющих установить личность. Это ключевой элемент в улучшении взаимодействия с конечными пользователями и их удержании, поскольку он делает цифровой банкинг более простым и безопасным для законных клиентов и более сложным для мошенников. Несанкционированный доступ к данным клиентов представляет собой угрозу бренду, репутации и конкурентоспособности финансового учреждения.

Как аутентификация на основе рисков снижает трение для клиентов

Адаптивная аутентификация снижает трение для клиентов, помогая предотвратить захват учетной записи и другие типы мошеннических атак. Он усиливает меры безопасности, действующие в фоновом режиме, в режиме реального времени, пока клиент занимается своими делами. RBA применяет точный уровень безопасности для каждого уникального взаимодействия с клиентом и избегает ненужных мер безопасности для транзакций с низким уровнем риска, которые могут добавить трения для пользователя. Хорошим примером является законный клиент, входящий в банковский портал с известного устройства, которое было зарегистрировано в банке, с использованием того же браузера, который они обычно используют. Они выполняют действия с низким уровнем риска, такие как проверка своего баланса или внесение небольшого платежа. В этом случае система определяет, что риск мошенничества настолько низок, что им не нужно повторно аутентифицироваться после входа в систему. Только тогда, когда поведение пользователя отличается от нормальной активности, добавляются дополнительные проблемы аутентификации, что приводит к повышенным препятствиям безопасности для более рискованных транзакций, таких как банковский перевод. Клиенту предлагалось пройти аутентификацию в той или иной форме, и в случае успеха он продолжал заниматься своими делами.

blog icon
Blog

How Risk-based Authentication Cuts Fraud Losses and Improves Customer Satisfaction

Read More


Как аутентификация на основе рисков может стимулировать рост и лояльность

Аутентификация на основе рисков является ключом к разблокированию роста и лояльности клиентов для банков, поскольку она значительно снижает трение и обеспечивает лучшее обслуживание клиентов. В рамках цифровой трансформации банка он сокращает ненужные шаги по проверке личности и применяет точный уровень безопасности в нужное время для каждой транзакции в зависимости от уровня риска. Пользовательский опыт напрямую влияет на удержание клиентов. Исследования показали, что клиенты, которые имеют возможность легко взаимодействовать со своим финансовым учреждением в любом месте и в любое время, с меньшей вероятностью поменяются. В то же время использование аутентификации на основе рисков может помочь банкам и другим финансовым учреждениям сократить потери от мошенничества.

Почему проверка подлинности на основе рисков - важный инструмент безопасности

Аутентификация на основе рисков является важным инструментом безопасности, поскольку она работает в режиме реального времени, помогая предотвратить кибермошенничество, не доставляя неудобств законным клиентам.

В то время как система предотвращения мошенничества генерирует оценку риска транзакции, аутентификация на основе риска предоставляет возможность корректировать методы аутентификации на лету в соответствии с уровнем риска. В качестве инструмента оценки рисков RBA также принимает мгновенные решения о том, какие методы аутентификации использовать и в каких комбинациях.

Как упоминалось выше, финансовые учреждения часто полагаются на слабую аутентификацию, такую как пароль или одноразовый код, отправленный в текстовом SMS-сообщении. Однако прогресс в области мошенничества, вредоносных программ и стратегий атак требует более бдительной безопасности. В результате банки обращаются к проверке подлинности на основе рисков, когда клиента могут попросить выполнить проверку подлинности, в зависимости от уровня риска того, что они пытаются сделать. Например, если кто-то пытается перевести 90% средств, имеющихся на банковском счете, с помощью устройства, которое неизвестно системе, и в время суток, которое не соответствует историческим моделям клиента, его попросят дополнительно подтвердить их личность с дополнительной аутентификацией, такой как одноразовый код доступа, сопровождаемый сканированием отпечатков пальцев или биометрическими данными лица. Использование RBA может выявить рискованные попытки входа в систему и при необходимости полностью запретить доступ или транзакции.

Как определяются оценки риска в RBA

Оценки рисков являются ключом к проверке подлинности на основе рисков. Оценка риска создается на основе ряда факторов, связанных с попыткой доступа или попыткой выполнения транзакции.

Например, RBA анализирует сотни и даже тысячи точек данных, таких как устройство клиента, IP-адрес, геолокация, сеть, время суток и сама транзакция. Эти данные используются для получения оценки транзакции риска в реальном времени. В зависимости от оценки риска RBA может вызвать немедленную проверку подлинности, если это необходимо. Оценка риска также может включать в себя историю инцидентов безопасности пользователя, количество входов в систему и конфиденциальность данных, к которым необходимо получить доступ. Причина, по которой оценка риска основана на сочетании множества контекстных и других точек данных, заключается в том, что одна точка данных сама по себе может и будет побеждена злоумышленником. Однако многие запросы на доступ не достигают установленных пороговых значений риска и не требуют дополнительной проверки подлинности.

Роль биометрии в RBA

Биометрическая аутентификация все чаще используется в приложениях мобильного банкинга для обеспечения безопасности и удобства работы пользователей. Цифровые клиенты считают само собой разумеющимся, что их транзакции будут беспрепятственными и безопасными. Многие украденные пароли и имена пользователей продаются в Интернете, и многие люди повторно используют пароли, что делает их менее безопасным вариантом аутентификации. Однако отправка пароля вместе с отпечатком пальца намного безопаснее, чем методы аутентификации. Использование биометрии стало популярным благодаря TouchID от Apple, а поддержка биометрии выходит за рамки сканирования отпечатков пальцев и переходит в сканирование лица и радужной оболочки глаза или сетчатки глаза. Пользователи имеют возможность выбрать метод проверки подлинности, наиболее простой для них в конкретной ситуации, или метод, при котором они чувствуют себя наиболее безопасными.     

Чтобы помочь аутентифицировать растущую мобильную клиентскую базу, можно применять поведенческую биометрию, чтобы узнать, как клиент печатает, держит телефон или смахивает, какая рука используется и ритм нажатия клавиш. Поведенческая биометрия обеспечивает непрерывный сигнал о подлинности пользователя, и, как следствие, мошенникам может быть сложно победить их в настоящее время.

Рекомендации аналитиков по решению для проверки подлинности на основе рисков

Компания по исследованию рынка Forrester отмечает, что проверка подлинности на основе рисков более актуальна для финансовых учреждений, чем когда-либо, поскольку онлайн и мобильные транзакции становятся все более популярными. Forrester говорит, что способность уменьшить неудобства и проблемы для клиентов без ущерба для безопасности является конкурентным преимуществом. Компания по исследованию рынка также заявляет, что для получения максимально точной оценки риска система защиты от мошенничества должна иметь возможность анализировать как можно больше данных о пользователях, устройствах и транзакциях по цифровым каналам.

При оценке решений RBA Forrester также предлагает искать поставщиков, которые предоставляют шаблоны правил мошенничества, которые повысят точность ваших оценок риска. Система противодействия мошенничеству должна обеспечивать прозрачность того, как и почему срабатывают эти правила мошенничества по цифровым каналам. Кроме того, системе необходимо показать, как машинное обучение будет дополнять правила мошенничества, чтобы выявлять модели поведения, которые отклоняются от обычного поведения клиента и могут указывать на новые методы мошенничества.

Кроме того, убедитесь, что решение не ограничивается только анализом рисков мошенничества. Убедитесь, что он может не только собирать и анализировать данные, но и просить пользователя выполнить более сложную проверку подлинности, если это необходимо.

Свяжись с нами

Свяжитесь с одним из наших экспертов по безопасности, чтобы узнать больше о том, как наши решения могут помочь с вашими потребностями в цифровой безопасности.