Loader

Готовы ли банки сказать паролям прощай?

Пароли существуют уже несколько десятилетий, впервые появившись еще в 1960-х годах как концепция аутентификации для обеспечения кибербезопасности. С тех пор технологии развивались, поведение потребителей менялось, а ландшафт киберугроз превратился в сложную экосистему, где атаки становятся все более изощренными и масштабными.

Несмотря на то, что пароли имеют свои недостатки, включая плохое качество обслуживания клиентов, и подвержены таким атакам, как подстановка учетных данных, фишинг, социальная инженерия и атаки методом перебора, финансовые учреждения неохотно избавляются от них.

Этим они отличаются от технологических гигантов, включая Google и Microsoft, которые горячо поддерживают тенденцию отказа от паролей, утверждая, что существуют более эффективные способы проверки личности и предотвращения мошенничества.

«Существует множество причин для отказа от паролей», — сказал Бен Бальтазар, старший консультант по борьбе с мошенничеством компании OneSpan, во время последней групповой дискуссии Fintech Fireside Asia в начале этой недели.

«Это воспринимается как неудобство для пользователя, но и простое управление паролями приводит к применению сложных политик паролей, которые отличаются для каждого приложения. Поэтому для пользователя это становится настоящей головной болью. Затем они заставляют вас сменить пароль через определенный промежуток времени».

Риски, связанные с безопасностью паролей

Поскольку пароли — это статичные учетные данные, срок действия которых обычно не истекает, они являются легкой мишенью для злоумышленников. Кроме того, многие люди повторно используют свои пароли для нескольких учетных записей, что создает риск практически одновременной компрометации этих учетных записей, если злоумышленнику удастся завладеть единственным паролем, — говорит Уилл Талли, руководитель регионального отдела по борьбе с мошенничеством HSBC.

Массовые утечки данных, включая LinkedIn и Yahoo, свидетельствуют о недостатках паролей, сказал он. В банковском секторе клиенты OCBC, второго по величине банка Сингапура, недавно попались на фишинговую SMS-аферу, в результате которой около 790 пользователей были обмануты на 13,7 млн сингапурских долларов, отметил он.

«Существует реальный риск, связанный с паролями», — сказал Уилл. «Банки рассматривают возможность усиления контроля и отхода от паролей». Хотя нет сомнений в том, что проверка личности должна развиваться, внедрение новых беспарольных методов происходит несколько медленно, и это в первую очередь связано с технологическими ограничениями, сказал Мхел Т. Плабасан, директор Департамента по надзору за технологическими рисками и инновациями Bangko Sentral ng Pilipinas (BSP), центрального банка Филиппин.

«Вероятно, основная проблема с точки зрения внедрения этой технологии заключается в том, что сейчас существует множество приложений, которые пока не поддерживают беспарольную аутентификацию», — сказал Мэл.

«Инфраструктура также может стать проблемой. И конечно, если умножить это на количество приложений в организации, это может стать огромной проблемой как с точки зрения сложности, так и с точки зрения затрат». Не только это, но и привлечение высшего руководства к использованию этих новых методов также может оказаться сложной задачей. «Беспарольная аутентификация — это переходный период», — сказал Мэл. «По мере того, как все больше организаций будут убеждаться в преимуществах беспарольной аутентификации, все больше организаций будут переходить на беспарольную аутентификацию, учитывая преимущества, включая удобство для пользователей и повышенную безопасность».

Регулирование может учитывать эти новые методы аутентификации, отметил Мхел, упомянув, что центральный банк Филиппин был одним из первых сторонников беспарольной аутентификации и одним из первых в Азиатско-Тихоокеанском регионе (АТР) ввел регулирование аутентификации на основе рисков в 2017 году.

Применение ограничения там, где это имеет смысл
Вслед за Мэлом, Уилл сказал, что переход на беспарольную систему потребует от банков отказа от «бинарного подхода к аутентификации» в пользу аутентификации, основанной на оценке риска, когда для разных уровней риска применяются различные уровни строгости процессов аутентификации. «[Аутентификация на основе риска] — это возможность оценить риск определенного действия, которое вы совершаете в Интернете, и при необходимости добавить ограничения, чтобы сделать это было сложнее и чтобы мы повышали уровень аутентификации в нужное время», — сказал Уилл.

«На самом деле, любая защита, в том числе и беспарольная, должна включать в себя аутентификацию на основе рисков в качестве стратегии. В HSBC мы уделяем большое внимание аутентификации на основе рисков, чтобы мы могли бросить вам вызов в Интернете».

Бен сказал, что в будущем поведенческая аналитика станет ключевым компонентом для беспарольных методов, помогая обнаруживать аномалии в поведении пользователей с помощью комбинации науки о данных, алгоритмов машинного обучения (ML) и искусственного интеллекта (AI), а также проактивно выявлять попытки мошенничества. «У вас будет настолько больше данных, что вы будете чувствовать себя гораздо комфортнее в плане меньшей аутентификации», — сказал Бен.

«В конечном счете, вы сможете дойти до того, что для некоторых базовых вещей, таких как проверка баланса в мобильном приложении, вам вообще не придется проходить идентификацию». Но в конечном итоге все сводится к тому, как будут внедряться эти новые технологии и будет ли разработана правильная более широкая стратегия. «Поддержка технологий — это не только то, что вы используете в качестве решений, но и экосистема, окружающая их, будет иметь большое значение», — сказал Бен.

«Проблема, которую мы часто видим, заключается в том, что банки принимают правильную технологию, внедряют ее, но часто неправильно, то есть допускают небольшие ошибки в применении технологии, и это обычно заканчивается новыми рисками, которых у них раньше не было. У них возникает иллюзия, что новая технология, которую они внедрили, решит все их проблемы».

Мхед отметил, что, как и любая новая технология, беспарольные методы также имеют свои риски, особенно когда такие технологии, как глубокие подделки, потенциально могут обойти биометрическую аутентификацию, такую как распознавание лица и голоса. «Ни одна технология не является на 100% безопасной», — сказал он. «Это решение о переходе на механизм аутентификации без пароля должно быть подкреплено соответствующей оценкой рисков и должной осмотрительностью».

Предлагаем посмотреть запись вебинара, в ходе которого подробно рассказали о роли двухфакторной аутентификации в защите от современных атак, а также провели демонстрацию решения OneSpan.

Тема вебинара: «OneSpan: Роль двухфакторной аутентификации в защите от современных атак».

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений OneSpan и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украинаinfo.ua@oberig-it.com, +38 099 427 94 04.

Казахстанinfo.kz@oberig-it.com, +7 775 395 0803.

Узбекистан, Кыргызстан,  Туркменистанinfo.uz@oberig-it.com, +99897 746 83 40.

Азербайджанinfo.az@oberig-it.com, +994 50 6826105.

Источник: https://bit.ly/3LWguVm