Что такое банковский токен?
Банковский токен может быть простым в использовании устройством, например, аппаратным токеном, таким как брелок, USB-носитель или смарт-карта. Это также может быть мягкий токен, например, отдельное приложение для аутентификации из магазина приложений, которое устанавливается на мобильное устройство или интегрируется в мобильное банковское приложение. Банковские токены предоставляют одноразовые пароли (OTP) для аутентификации пользователя цифровых банковских услуг при входе в систему или совершении финансовых операций. Банковские токены, жесткие и мягкие, могут использоваться как часть процесса двухфакторной (2FA) или многофакторной (MFA) аутентификации.
Большинство банков и других организаций требуют 2FA или MFA для обеспечения безопасности входа в систему, когда два или более факторов аутентификации объединяются для проверки личности. Это может быть:
- Что-то, что вы знаете, например, ОТП или ответ на секретный вопрос
- То, что у вас есть, например, ваше мобильное устройство
- То, чем вы являетесь, например, отпечатки пальцев или сканирование лица
Например, ваш мобильный телефон может использоваться для аутентификации входа в систему, потому что это то, что у вас есть, и это можно объединить с другими средствами аутентификации, такими как мягкий токен, который может быть приложением-аутентификатором, где вам предлагается нажать на кнопку, и на вашем устройстве генерируется OTP для достижения 2FA. Можно также использовать аппаратный банковский токен, который генерирует одноразовый код, который вы знаете, для входа в ваше устройство, которое у вас есть. Банковские токены усложняют преступникам проведение мошеннических операций с чужими банковскими счетами
Как банковские токены повышают безопасность
Банковские токены обеспечивают надежную защиту клиентов онлайн- и мобильного банкинга, поскольку они связывают авторизованного пользователя с его зарегистрированными устройствами, что помогает предотвратить мошенничество. Если клиент теряет свой смартфон, он обычно узнает об этом почти сразу. Если они используют мягкий банковский токен, клиент и банк имеют возможность быстро отключить устройство для предотвращения несанкционированного доступа и мошеннических действий. Если аппаратный банковский токен утерян, клиент также может немедленно сообщить об этом.
Аппаратные токены (также известные как аппаратные аутентификаторы) также помогают предотвратить атаки социальной инженерии, такие как фишинг, которые используют эмоциональные призывы в электронных письмах или текстах, чтобы убедить клиентов нажать на вредоносные вложения или ссылки.
Многие банки используют аппаратные и программные банковские токены для замены имен пользователей и паролей. Полагаться только на имена пользователей и пароли недостаточно для обеспечения безопасности счетов клиентов, поскольку регулярно происходят утечки данных, утечка персонально идентифицируемой информации (PII) и атаки на захват счетов. Кроме того, программные токены также могут помочь предотвратить фишинговые атаки, которые приводят к захвату аккаунта
Webinar
Best Practices for Financial Organizations:
View this complimentary Bank Innovation webinar on-demand to hear from two security experts who will share soft token technology and industry trends and best practices for rolling out software-based authentication technology.
View the Webcast
Как банковские токены улучшают клиентский опыт
Банковские токены обеспечивают безопасный клиентский опыт, поскольку клиентам больше не нужно следить за паролями, что снижает ненужное трение для них. Во-первых, мягкие токены просты и удобны в использовании; ожидается, что их использование будет расти в связи с распространением смартфонов и мобильных приложений. Во-вторых, некоторым клиентам может быть удобнее использовать твердые жетоны, поскольку они не так хорошо разбираются в технике. В целом, многие клиенты хотят иметь как твердые, так и мягкие жетоны. Им нравится и хочется пользоваться своим мобильным устройством, зная, что если что-то пойдет не так, например, телефон потеряется или будет украден, или если сядет батарея, у них есть аппаратный резерв.
Банки переходят на программные токены
Пример №1: Модернизация аутентификации с помощью приложения для банковских токенов
Задача: Американская компания EagleBank переходит на мягкие банковские токены, поскольку клиенты все чаще предпочитают использовать свои мобильные устройства для получения банковских услуг. С 2017 года EagleBank перешел от аппаратных банковских токенов, которые генерируют OTP, или код токена, для таких действий, как банковский перевод или инициация ACH для электронных платежей и депозитов. Банк, предоставляющий коммерческие банковские услуги, выпустил мягкие токены в 2018 году.
EagleBank решил запустить независимое программное приложение для аутентификации, названное "EagleBank Soft Token App", с логотипом и фирменными цветами банка, чтобы помочь в распознавании клиентов. В результате клиентам больше не нужно запоминать и вручную вводить номер при аутентификации, как это делается при использовании аппаратного банковского токена. Новые клиенты теперь могут пользоваться приложением EagleBank Soft Token App.
Результат: В первые девять месяцев после запуска 95% новых клиентов EagleBank подписались на использование приложения с мягкими токенами. Кроме того, благодаря использованию токена "мягкого банка" банк сократил время, необходимое для привлечения новых клиентов, с нескольких дней до нескольких минут.
CASE STUDY
Eaglebank Launches Software Authentication For New Customers
EagleBank faced two key challenges in their software authentication deployment: determining the right launch strategy and forming a policy for their existing customers. Learn how they overcame them in this case study.
Read MoreПример №2: Аутентификация с помощью программных и аппаратных банковских токенов
Задача: Банк Кипра в течение многих лет распространял аппаратные токены среди своих клиентов. Однако по мере того, как клиенты начали переходить на мобильные транзакции, переход на мягкие банковские токены стал более актуальным. Банк начал использовать мягкие токены и OTP для конкретных транзакций в соответствии с пересмотренной Директивой Европейского союза о платежных услугах (PSD2) для электронных платежных услуг, чтобы обеспечить максимально возможный уровень безопасности.
Являясь ведущей группой банковских и финансовых услуг на Кипре, банк предоставляет розничные и коммерческие банковские услуги, инвестиционные банковские услуги и страхование. Для входа в систему и динамической привязки счетов банк решил внедрить программную аутентификацию, интегрированную непосредственно в мобильное банковское приложение Bank of Cyprus. Для клиентов, которые не пользуются приложением мобильного банка, но при этом совершают онлайн-платежи, банк предлагает возможность получить код аутентификации OTP через SMS (онлайн) или отсканировать код Cronto® (офлайн). Хотя банк рекомендует клиентам заменить свои аппаратные банковские токены на мягкие банковские токены, многие транзакции по-прежнему авторизуются (т.е. динамически привязываются) с использованием OTP с аппаратных аутентификаторов.
Результат: Bank of Cyprus отметил, что люди, которые приобрели мягкий банковский токен, не хотят возвращаться к использованию аппаратного аутентификатора.
Стратегическое значение
Банковские токены, твердые и мягкие, помогают обеспечить безопасность цифровых банковских операций. Хотя некоторые клиенты могут предпочесть мягкие токены, жесткие токены все же можно использовать в качестве резервного варианта или в случае отсутствия покрытия сети. Банковские токены могут повысить лояльность клиентов и увеличить их рост благодаря простому, но безопасному опыту обеспечения надежной аутентификации клиентов. Использование этих маркеров безопасности также может дать клиентам уверенность в том, что они могут совершать банковские операции в Интернете с более высокой стоимостью.