Внеполосная аутентификация

Что такое внеполосная аутентификация?

Внеполосная аутентификация - это тип двухфакторной аутентификации (2FA), который требует вторичного метода проверки через отдельный канал связи. В нем задействованы два разных канала: интернет-соединение клиента и беспроводная сеть, в которой работает его мобильный телефон. Возможность одновременной компрометации злоумышленником двух каналов - Интернета клиента и мобильной беспроводной сети - в то время, когда клиент пытается войти в систему или совершить транзакцию, значительно снижается по сравнению с попыткой входа в однодиапазонную систему.

Внеполосная (OOB) аутентификация используется финансовыми учреждениями и другими организациями с высокими требованиями к безопасности для предотвращения несанкционированного доступа. OOB помогает повысить кибербезопасность, поскольку усложняет взлом учетной записи благодаря двум отдельным и не связанным между собой каналам аутентификации, которые должны быть одновременно скомпрометированы, чтобы злоумышленник мог получить доступ.

Как работает внеполосная аутентификация

В системе внеполосной аутентификации (OOBA) канал, используемый для аутентификации клиента, полностью отделен от канала, используемого клиентом для входа в систему или выполнения транзакции. Внеполосная аутентификация - это тип двухфакторной аутентификации (что-то, что вы знаете, например, пароль, и что-то, что у вас есть, например, ваше мобильное устройство), а не многофакторная аутентификация (MFA). Например, клиенту, который хочет совершить банковскую операцию в режиме онлайн на своем настольном компьютере, будет отправлен одноразовый пароль (OTP) с помощью текстового SMS-сообщения или push-уведомления на мобильном устройстве, что предполагает использование двух различных каналов - Интернета и беспроводной сети. Использование отдельного канала снижает вероятность атак типа "человек посередине" и других атак, связанных с утечкой данных.

Какая внеполосная аутентификация отправляется на мобильные устройства?

Внеполосные коды могут быть доставлены на мобильные устройства различными способами:

Пример внеполосной аутентификации 1: push-уведомления

Push-уведомления предоставляют код аутентификации или одноразовый пароль OTP через уведомление, которое появляется на экране блокировки мобильного устройства клиента.

Пример внеполосной аутентификации 2: коды кронто

Код Cronto® или QR-подобный код может подтвердить подлинность или авторизацию финансовой операции. Клиент увидит графическую криптограмму, напоминающую QR-код, отображаемую через веб-браузер. Только зарегистрированное устройство клиента может считать код Cronto, что делает его очень безопасным. Когда вы хотите совершить операцию, вы вводите платежные данные в приложение интернет-банка в браузере. Затем вы увидите QR-код и отсканируете его с помощью камеры на телефоне. Ваше устройство декодирует его, расшифрует платежные данные и покажет их вам на мобильном телефоне в виде обычного текста. Она обеспечивает защиту и безопасность данных. Кроме того, этот подход отвечает требованиям динамической привязки, изложенным в Пересмотренной директиве Европейского союза о платежных услугах (PSD2), регулирующих технических стандартах.

Пример внеполосной аутентификации 3: аутентификация голоса

Голосовая аутентификация позволяет позвонить клиенту и сообщить ему о наличии запроса на вход в систему, который необходимо одобрить или отклонить. Как правило, клиент может нажать кнопку или клавишу в соответствии с инструкциями, чтобы принять запрос или отклонить его, повесив трубку.

Пример внеполосной аутентификации 4: биометрический считыватель на ноутбуке

Биометрический считыватель на ноутбуке можно рассматривать как способ осуществления внеполосной аутентификации при условии, что он реализует отдельный канал связи, недоступный из операционной среды основного канала связи.

Как внеполосная аутентификация помогает предотвратить мошенничество и кибератаки

Когда банковская система контроля рисков отмечает транзакцию с высоким уровнем риска, она выдает оценку, которая отражает склонность к мошенничеству на основе алгоритмов. Более высокая оценка риска вызывает более высокие шаги аутентификации или дополнительные требования безопасности, такие как аутентификация вне диапазона, чтобы вызвать клиента для повторного подтверждения транзакции (которая обычно связана с крупной суммой денег). Система оценки рисков и соответствующая оценка могут инициировать изменение рабочего процесса аутентификации, чтобы отправить OTP на доверенное мобильное устройство клиента для дополнительной проверки.

В случае OOB элементом владения является мобильный телефон, на который пользователь получает код аутентификации. Вводится элемент знания или ингерентности:

  • Банковское устройство для аутентификации на двух устройствах (настольном и мобильном)
  • Или мобильное устройство для двухприкладной аутентификации (два разных приложения, запущенных на одном мобильном устройстве)
  • Или аутентификация с помощью одного мобильного приложения, когда клиент использует одно устройство и одно приложение для инициирования и аутентификации транзакций.

Внеполосная аутентификация препятствует атакам типа "человек посередине

OOB также помогает финансовым учреждениям снизить количество атак вредоносного ПО. Например, OOB может помочь предотвратить атаки типа "человек посередине", при которых мошенники располагаются между финансовым учреждением и пользователем, чтобы незаметно перехватывать, редактировать, отправлять и получать сообщения. Например, они могут захватить канал связи между устройством пользователя и сервером банка, установив вредоносную сеть Wi-Fi в качестве публичной точки доступа.

Даже если клиент находится в сети сотовой связи, такая атака будет предотвращена, поскольку мошенник будет иметь доступ только к одному из каналов. Как упоминалось ранее, внеполосная аутентификация делает атаки гораздо более сложными для хакеров или мошенников, поскольку им необходимо иметь возможность взять под контроль оба отдельных канала связи одновременно, чтобы скомпрометировать процесс аутентификации пользователя. Внеполосная аутентификация - важнейший инструмент борьбы с мошенничеством для финансовых учреждений.

Соблюдение нормативных требований

Внеполосная аутентификация помогает организациям соответствовать требованиям Второй директивы Европейского союза по платежным услугам (PSD2), в частности статье 97, которая требует от поставщиков платежных услуг аутентифицировать пользователя, когда он:

  • Доступ к счету для онлайн-платежей
  • Инициировать транзакцию электронного платежа
  • Выполнять любые действия через удаленный канал, которые могут быть связаны с риском мошенничества при оплате
  • Он также соответствует требованиям GDPR по защите данных и конфиденциальности

Внеполосная аутентификация соответствует требованиям NIST, Национального института стандартов и технологий. В 2016 году NIST предложил "снять с производства" двухфакторную аутентификацию по SMS из-за уязвимости в качестве внеполосного фактора в средах многофакторной аутентификации. Из-за путаницы с термином deprecating и тем, разрешена или нет двухфакторная аутентификация по SMS, NIST изменил свои рекомендации в 2017 году и определил, что SMS относится к категории "ограниченных", где клиенты и организации рискуют, используя SMS 2FA. Однако внеполосная аутентификация, такая как OTP на основе push (отправка кода на мобильное устройство через приложение, такое как Google Authenticator), которая криптографически подписана и не доставляется через SMS-канал, позволяет избежать уязвимостей SMS-сообщений.

Что говорят аналитики о внеполосной аутентификации

По данным Allied Market Research, "рост объема онлайн-транзакций, постоянное увеличение количества современных и сложных угроз - вот некоторые из основных факторов, способствующих росту рынка внеполосной аутентификации". Однако риски, связанные с OOB-аутентификацией с помощью SMS, и высокая стоимость продукта сдерживают рост рынка. Напротив, ожидается, что рост принятия решений малыми и средними предприятиями создаст многочисленные возможности для этого рынка". Глобальный рынок аутентификации вне диапазона оценивался в $274 млн в 2016 году и, по прогнозам, достигнет $1,1 млрд в 2023 году, увеличиваясь с темпом CAGR 22,8% с 2017 по 2023 год.

Research and Markets отмечает, что "OOB - это мощный инструмент, используемый для предотвращения мошенничества, поскольку программное обеспечение для аутентификации OOB работает с защищенным каналом связи. Для операций с высоким риском предприятия используют эту технологию для проверки и удостоверения личности пользователя. Технология используется для аутентификации при проведении как финансовых, так и нефинансовых операций". Аналитики прогнозируют рост мирового рынка программного обеспечения для аутентификации OOB на период 2016-2020 гг. с CAGR 23,57% в течение периода 2016-2020 гг.

Свяжитесь с нами

Свяжитесь с одним из наших экспертов по безопасности, чтобы узнать больше о том, как наши решения могут помочь вам в обеспечении цифровой безопасности