Сильная Аутентификация

Что такое надежная аутентификация?

Строгая аутентификация использует многофакторную аутентификацию (MFA) для подтверждения личности клиента при входе в систему и авторизации транзакций. В нем также используется аутентификация на основе риска (RBA), которая помогает предотвратить мошенничество, определяя уровень риска для каждой операции в режиме онлайн или мобильного банка и уровень аутентификации, необходимый для каждой операции.

Как работает строгая аутентификация?

Во-первых, многофакторная аутентификация (MFA) использует три общих фактора:

  • Что-то, что вы знаете: Наиболее распространенной аутентификацией является "что-то, что вы знаете". Это может быть пароль или простой персональный идентификационный номер (PIN). Однако его также легче всего обмануть мошенникам.
  • То, что у вас есть: Фактор "то, что у вас есть" относится к таким предметам, как мобильное устройство или аппаратные токены аутентификатора, которые генерируют одноразовый код доступа (OTP). Аппаратная аутентификация обеспечивает двухфакторную аутентификацию (2FA). Варианты на базе мобильного телефона, такие как push-уведомление и одноразовый пароль (OTP), также обеспечивают 2FA.
  • То, что вы есть: Биометрия - это фактор "то, что вы есть", это могут быть отпечатки пальцев или сканирование лица, это часть перехода к беспарольным входам, особенно в мобильном банкинге. Существует также ряд ноутбуков, оснащенных датчиками отпечатков пальцев, и они также доступны на USB-накопителях.

Для достижения многофакторной аутентификации в процессе аутентификации должны использоваться как минимум две различные технологии из как минимум двух различных групп технологий. Клиент, использующий PIN-код с распознаванием лица в качестве второго фактора, будет использовать MFA. Однако клиент, использующий PIN-код в сочетании с паролем, будет использовать двухфакторную аутентификацию (2FA), а не многофакторную аутентификацию.

Клиенты, испытывающие нехватку времени, все чаще требуют аутентификации без трения. Другими словами, они хотят быть проверенными без необходимости фактического выполнения проверки. Внедрение MFA помогает предотвратить мошенничество, поскольку пароли и имена пользователей считаются слабым средством защиты. Пароли и имена пользователей легко украсть и использовать, они выставлены на продажу в "темной паутине" и ждут, когда их купят преступники.

Во-вторых, аутентификация на основе рисков (RBA) является частью надежной аутентификации:

Аутентификация на основе рисков помогает предотвратить захват учетной записи и другие мошеннические атаки с помощью машинного обучения и системы оценки рисков. RBA анализирует тысячи точек данных, таких как устройство клиента, IP-адрес, местоположение, сеть, время суток и сама транзакция, чтобы получить оценку риска в режиме реального времени. В зависимости от оценки риска, аутентификация на основе риска может вызвать немедленный вызов аутентификации, если это необходимо. Оценка риска может также включать историю инцидентов безопасности пользователя, количество входов в систему и чувствительность данных, к которым осуществляется доступ. Причина, по которой оценка риска основана на комбинации многих контекстных и других точек данных, заключается в том, что одна точка данных сама по себе может быть и будет обойдена злоумышленником. Аутентификация на основе риска также известна как адаптивная аутентификация или ступенчатая аутентификация и при необходимости использует многофакторную аутентификацию.

Вот пример аутентификации на основе риска, определяющей, что транзакция имеет низкий уровень риска: законный клиент входит на свой банковский портал с известного устройства, зарегистрированного в банке, и использует тот же браузер, который он обычно использует. Клиент проверяет свой баланс или совершает небольшой платеж. В этом случае система определяет, что риск мошенничества настолько низок, что клиенту не нужно повторно проходить аутентификацию после входа в систему.

Однако, когда поведение клиента отклоняется от его обычной деятельности, система, основанная на оценке риска, добавит больше механизмов аутентификации, что приведет к увеличению препятствий для безопасности более рискованных операций, таких как банковский перевод. В этом случае клиенту будет предложено аутентифицировать себя в той или иной форме, например, с помощью отпечатка пальца, сопровождаемого одноразовым кодом, что является многофакторной аутентификацией. В случае успеха они продолжат свой бизнес. Если нет, транзакция будет отменена.

Как уже отмечалось, статические пароли и имена пользователей уже не обеспечивают достаточной безопасности, учитывая постоянно меняющийся ландшафт угроз и регулярные утечки данных. Аутентификация, основанная на оценке риска, с использованием многофакторной аутентификации, позволяет финансовым учреждениям поддерживать такие элементы аутентификации, как мобильные приложения и аппаратные токены, которые у вас есть. Он также поддерживает биометрические данные, такие как отпечатки пальцев и сканирование лица, которые являются тем, чем вы являетесь, и поддерживает элемент "то, что вы знаете", такой как PIN-код.

Различные типы технологий многофакторной аутентификации

  • Аппаратные токены: небольшие, простые в использовании аппаратные устройства, такие как брелоки или смарт-карты, которые владелец носит с собой для авторизации доступа к сетевым услугам. Они поддерживают надежную аутентификацию с помощью одноразовых паролей (OTP). Аппаратные токены обеспечивают фактор владения для многофакторной аутентификации. Их сложно физически взломать и манипулировать ими, они помогают защитить данные, поскольку данные клиентов не хранятся, и они менее уязвимы для атак.
  • Мягкие токены: токены на основе программного обеспечения или приложений генерируют PIN-код для одноразового использования. Эти токены часто используются для многофакторной аутентификации, в которой смартфон обеспечивает фактор "обладания", или то, что у вас есть. Мягкие токены избавляют от необходимости запоминать пароли, могут идти в ногу с технологическими новинками и сокращают время входа в систему с нескольких дней до нескольких минут для конечного пользователя.
  • Push-уведомления: Push-уведомления доставляют код аутентификации или одноразовый пароль через push-уведомление на мобильное устройство человека. Вместо того чтобы получить SMS-сообщение, push-уведомление появляется на экране блокировки устройства человека.
  • Визуальная криптограмма: Визуальная криптограмма, такая как Cronto® - это решение для многофакторной аутентификации, которое использует уникальный визуальный вызов, содержащийся в графической криптограмме, состоящей из матрицы цветных точек. Клиент использует камеру на своем мобильном устройстве для сканирования криптограммы и расшифровки содержащейся в ней информации о транзакции.
  • Мобильная аутентификация: Мобильная аутентификация позволяет проверить клиента через его телефон или проверить само устройство, что позволяет клиенту входить в безопасные места и получать доступ к ресурсам из любого места с повышенной безопасностью.
  • Биометрическая аутентификация: Биометрическая аутентификация включает использование сканирования отпечатков пальцев или распознавания лица в процессе аутентификации для точной и безопасной аутентификации клиентов, обычно находящихся на своих мобильных устройствах, а также поведенческую аутентификацию, которая обеспечивает закулисную безопасность, постоянно аутентифицируя их по уникальным способам взаимодействия с их устройствами. Это включает в себя ритм нажатия клавиш, движения пальцев и многое другое.

Как надежная аутентификация помогает предотвратить мошенничество

Надежные методы аутентификации могут помочь снизить количество мошеннических атак благодаря многофакторной аутентификации и аутентификации на основе риска.

Многофакторная аутентификация усложняет мошенникам вход в аккаунт клиента благодаря трем факторам проверки подлинности: то, что вы знаете, то, что у вас есть, и то, кем вы являетесь. MFA обеспечивает дополнительную безопасность, когда устройство клиента не распознается, например, или если клиент пытается совершить транзакцию из необычного места. Он также помогает предотвратить некоторые из наиболее распространенных кибератак, включая фишинг, подстановку учетных данных, атаки "человек посередине" и кейлоггеры. Фишинговая атака может привести к краже учетных данных человека, но она не даст хакеру, например, отпечаток пальца. Использование многофакторной аутентификации не останавливает все типы атак, но оно добавляет дополнительные уровни надежной аутентификации, которые могут затруднить кибератаки. Если один фактор скомпрометирован или нарушен, злоумышленнику остается преодолеть еще как минимум один барьер, прежде чем он получит доступ к счету клиента.

Аутентификация на основе риска помогает предотвратить мошенничество, поскольку система предотвращения мошенничества в режиме реального времени принимает решения о точном уровне безопасности аутентификации, который необходим для каждой транзакции клиента для предотвращения несанкционированного доступа. Мошеннику сложно выдать себя за законного клиента, поскольку RBA основывается на контекстном представлении поведения человека, данных о транзакциях и данных устройства, например.

Со временем показатель риска становится более надежным индикатором компрометации счета и любых возникающих схем мошенничества. Как инструмент оценки рисков, RBA также мгновенно принимает решения о том, какие методы аутентификации использовать и в каких сочетаниях, чтобы помочь предотвратить мошенничество. Вот пример аутентификации на основе риска в действии: если кто-то пытается перевести 90% средств, имеющихся на банковском счете, используя неизвестное и незарегистрированное в банке устройство и в то время суток, которое не соответствует историческим данным клиента, его попросят дополнительно подтвердить свою личность с помощью надежной аутентификации, например, одноразового кода доступа, сопровождаемого сканированием отпечатков пальцев или биометрией лица. Кроме того, использование RBA позволяет выявлять рискованные попытки входа в систему и при необходимости полностью отказывать в доступе или транзакциях.

Надежная аутентификация позволяет финансовым учреждениям отказаться от использования паролей, которые легко взламываются и являются основной причиной нарушения безопасности и мошенничества со счетами. Отчасти проблема с паролями заключается в том, что современные методы мошенничества настолько изощренны, что пароль практически не дает надежды на их предотвращение.

Преимущества строгой аутентификации?

Строгая аутентификация обеспечивает повышенную безопасность по сравнению с устаревшей однофакторной аутентификацией пользователя по имени и паролю. По мере того как банки добавляют новые онлайн-услуги и новые способы обслуживания своих все более мобильных клиентов, надежная аутентификация может помочь не отставать от проблем безопасности и обеспечить наименее навязчивый опыт для клиентов.

Это также выигрышное условие, которое может помочь разблокировать лояльность и в конечном итоге привести к росту, потому что это гладкий и безопасный опыт для клиентов. Клиенты не терпят слишком много уровней аутентификации, и они просто не хотят тратить много времени на доступ к своим счетам. В рамках цифровой трансформации банка надежная аутентификация также устраняет ненужные этапы проверки личности. Он применяет точный объем защиты в нужное время для каждой транзакции в зависимости от уровня риска, обеспечивая беспроблемную работу, если требуется дополнительная защита. Опыт работы с клиентами напрямую влияет на удержание клиентов, и исследования показали, что клиенты, которые могут легко взаимодействовать со своим финансовым учреждением в любом месте и в любое время, с меньшей вероятностью перейдут в другое финансовое учреждение. Как уже упоминалось, надежная аутентификация также помогает финансовым учреждениям сократить потери от мошенничества.

Комплаенс

Строгая аутентификация клиента (SCA) - это новое требование пересмотренной Директивы о платежных услугах (PSD2), которая добавляет дополнительные уровни безопасности к электронным платежам. Например, MFA необходим для удовлетворения требования строгой аутентификации. PSD2 также предписывает использовать анализ риска транзакций для предотвращения мошеннических платежей.

Что говорят аналитики

Компания Forrester, занимающаяся исследованием рынка, отмечает, что аутентификация на основе рисков, являющаяся частью надежной аутентификации, как никогда актуальна для финансовых учреждений, поскольку онлайн- и мобильные транзакции становятся все более популярными. Forrester утверждает, что способность уменьшить неудобства и хлопоты для клиентов, не жертвуя безопасностью, является конкурентным преимуществом. Компания по исследованию рынка также утверждает, что для получения наиболее точной оценки риска система защиты от мошенничества должна быть способна анализировать как можно больше данных о пользователях, устройствах и транзакциях по цифровым каналам.

Свяжитесь с нами

Свяжитесь с одним из наших экспертов по безопасности, чтобы узнать больше о том, как наши решения могут помочь вам в обеспечении цифровой безопасности

Контакты