Loader

3 ключевых условия для лучших решений аутентификации без пароля

Финансовые учреждения все чаще оценивают и внедряют решения беспарольной аутентификации для борьбы с изощренным мошенничеством, низким качеством обслуживания пользователей и высокими эксплуатационными расходами на пароли.

Банки сталкиваются с огромным количеством мошенничества. Потерянные и украденные пароли являются источником для захвата счетов (ATO), утечки данных и других видов мошенничества. Сегодня в «темной паутине» обнаружено более 15 миллиардов украденных паролей, многие из которых банковские клиенты используют повторно на различных сайтах и в цифровых экосистемах. Это приводит к резкому росту мошенничества, которое, по оценкам ФБР, обходится банкам и предприятиям примерно в 6,9 миллиарда долларов. Решения без пароля по своей сути более эффективны в предотвращении мошенничества, поскольку хакерам просто нечего взламывать или красть с помощью вредоносных программ для мобильных устройств, троянов или социальной инженерии.

Хотя борьба с мошенничеством важна, рост доходов еще важнее. Согласно недавнему исследованию Forrester, 39% банков заявили, что рост доходов стоит на первом месте среди их приоритетов. Ключевым фактором роста цифровых каналов является предоставление удобного для пользователей опыта. Чем проще клиенту банка получить безопасный доступ к банковскому приложению, тем больше услуг он использует, что увеличивает доход. Решения без пароля обеспечивают именно такое удобство для пользователей.

И, наконец, платформы на основе паролей гораздо дороже в поддержке, чем платформы без паролей. Согласно прошлогоднему исследованию Ponemon Institute Survey, аутентификация без пароля экономит среднему предприятию около 1,9 миллиона долларов, причем значительная часть расходов приходится на службу поддержки, связанную в основном со сбросом паролей.

Очевидно, что беспарольная аутентификация может решить каждую из трех вышеперечисленных проблем, но какие возможности решения являются ключевыми для успешной службы или развертывания беспарольной аутентификации в банке? Ниже перечислены три основных, оказывающих наибольшее влияние:
• Широкий спектр методов аутентификации без пароля
• Возможность борьбы со сложным мошенничеством при входе в систему и после входа в систему
• Скорость и гибкость развертывания новых технологий аутентификации без пароля

Далее будет рассмотрено каждое из этих трех условий более подробно.

Методы расширенной аутентификации

Для эффективной стратегии и развертывания беспарольной аутентификации абсолютно необходим широкий спектр поддерживающих технологий многофакторной аутентификации (MFA). Это может включать сочетание аппаратных (например, смарт-карта) и программных (например, ключ безопасности) средств в гибридных развертываниях. Это так важно, потому что переход на беспарольный режим – это путь, который должен учитывать ожидания каждого сегмента клиентов вашего банка, а также соответствующий уровень безопасности для борьбы с мошенничеством.

Например, одна группа клиентов банка может быть совершенно не против войти в свое банковское приложение с помощью биометрического сканирования лица или отпечатка пальца на своем мобильном устройстве, в то время как другие группы клиентов предпочитают использовать push-уведомление для получения доступа. Ожидания этих различных групп конечных пользователей также будут меняться в зависимости от случая использования. Так, простая проверка баланса может быть осуществлена с помощью биометрического метода. Но для перевода дорогостоящих средств может потребоваться более безопасный, зашифрованный цветной QR-код для аутентификации пользователя и его транзакции. Такой код может быть просто отсканирован с помощью мобильного или аппаратного токена, что обеспечивает высочайший уровень защиты от атак социальной инженерии и атак типа «человек посередине» (также называемых «man-in-the-middle» или MitM).

Без возможности легко комбинировать и внедрять различные беспарольные программные и аппаратные методы аутентификации банки рискуют лишить возможности пользоваться услугами основных сегментов пользователей.
Короче говоря, любой подход к беспарольному переходу должен учитывать ожидания клиентов в отношении входа в систему и позволять смешивать и сочетать варианты аутентификации, включая аппаратные и программные средства, чтобы наилучшим образом удовлетворить ожидания каждой группы в банковских каналах.

Сложные меры по борьбе с мошенничеством

Использование беспарольной аутентификации для обеспечения отличного пользовательского опыта – это фантастика, но она не принесет реальной пользы, если не предотвратит широкий спектр мошеннических схем, которые в настоящее время существуют в природе. Самые успешные атаки мошенников – это не атаки методом грубой силы или вредоносного кода для проникновения в локальную систему управления идентификацией и доступом или в систему Active Directory. Самые успешные атаки сегодня направлены на клиента банка (т.е. социальная инженерия) и на мобильное банковское приложение (т.е. вредоносные программы и трояны).

Согласно Statista Report, банки входят в тройку наиболее часто атакуемых фишингом организаций, а другой отчет показал 300%-ный рост фишинга, направленного на клиентов банков. Кроме того, широко доступные фишинговые наборы для продажи в «темной паутине» позволяют быстро, легко и дешево размещать фишинговые сайты, которые позволяют атаковать клиентов банков.

Мошенничество в канале мобильного банкинга также важно учитывать. По данным исследования Aite-Novarica survey, 65% потребителей в США, Великобритании и Германии заходят на свой счет через мобильный телефон хотя бы раз в неделю. Если учесть растущую зависимость от мобильных устройств и недавний опрос DevSecOps, который показал, что 47% разработчиков считают безопасность важной, но не имеют времени на ее обеспечение, возникает тревожная тема – рост использования мобильных устройств при снижении уровня безопасности в мобильных приложениях для банковских операций. Таким образом, защита рабочего процесса аутентификации без пароля и обеспечение надежной аутентификации в банковском приложении имеет решающее значение.

Комплексное решение для аутентификации без пароля, которое устраняет эти риски мошенничества, сочетает в себе факторы аутентификации без пароля с дополнительной технологией безопасности. Оптимальное решение включает в себя защищенный от фишинга беспарольный метод, такой как технология Cronto от OneSpan, а также экранирование приложений, безопасный канал и непрерывный мониторинг сеансов.
• Cronto является надежной беспарольной технологией и, будучи инициированной банком, эффективно смягчает фишинговые атаки.
• Экранирование приложений защищает мобильное банковское приложение от взлома, обратной разработки и вредоносных программ, которые могут раскрыть учетные данные и способствовать мошенничеству с захватом счета.
• Безопасный канал обеспечивает зашифрованную связь между клиентом и сервером, что предотвращает атаки типа «человек посередине».
• Непрерывный мониторинг сеансов выходит за рамки первоначального входа в систему, чтобы усилить безопасность для других действий «того же сеанса», таких как смена бенефициара.

Хотя очевидно, что хакеры имеют в своем распоряжении обширные инструменты для ATO и связанного с ним мошенничества, беспарольная аутентификация в паре с этими дополнительными технологиями безопасности хорошо подходит для предотвращения даже самых изощренных атак, обеспечивая при этом лучший, беспроблемный пользовательский опыт.

Расширяемая платформа аутентификации

На основе различных типов технологий беспарольной аутентификации и возможности выявления и предотвращения мошенничества возникает потребность в гибкой базовой платформе, позволяющей при необходимости вносить простые и специальные изменения.
Возможно, это не самый удачный пример, но все же представьте — сейчас 2017 год, и NIST официально заявляет, что SMS для 2FA является устаревшим решением. Почему? Уязвимости были хорошо задокументированы. Например, недостатки безопасности сети SS7, которые могут быть использованы для перехвата или перенаправления SMS-сообщения, содержащего одноразовый пароль (OTP). Или подмена SIM-карты, которая заключается в обмане оператора мобильной связи и выдаче ему новой SIM-карты с номером клиента вашего банка, что позволяет мошеннику получать все OTP и доступ к счетам.

Если вы являетесь менеджером банка по ИТ-безопасности и используете SMS OTP, что вы делаете? Насколько легко развернуть новый метод аутентификации? Каково влияние на клиентов?

Во многих банках метод аутентификации пользователей и рабочий процесс жестко закодированы. Это фактически означает, что любое изменение метода аутентификации потребует полного переписывания кода банковского приложения и соответствующих рабочих процессов аутентификации. Очевидно, что это сопряжено со значительными расходами для банка и повышает риск нарушения работы клиентов банка.

По-настоящему гибкая облачная платформа беспарольной аутентификации позволяет динамически изменять методы аутентификации «на лету», которые можно перенести в производство за считанные минуты. Кроме того, в беспарольной MFA можно использовать множество более безопасных вариантов, чем SMS OTP, включая push-уведомления, Cronto и биометрическую аутентификацию (т.е. биометрию встроенных устройств, биометрию сторонних производителей, поведенческую биометрию, открытый стандарт-FIDO и версии нового поколения).

В конечном итоге, если какой-либо метод аутентификации становится уязвимым, банкам обязательно нужна платформа, способная быстро и легко внести изменения без ущерба для клиентов. Без такой возможности риск мошенничества возрастает в геометрической прогрессии.

Беспарольные потоки

Проекты в области безопасности, такие как беспарольная аутентификация, всегда являются предметом пристального внимания со стороны профессионалов банковского бизнеса. Часто возникают следующие вопросы: «Как этот проект согласуется с нашими целями роста?» или «Как этот проект повлияет на операционные расходы?».

За последние несколько лет идея беспарольной аутентификации получила значительное развитие. В значительной степени это связано с инициативами по цифровой трансформации, которые ставят во главу угла клиентский опыт, что способствует росту. По данным недавнего исследования Forrester, 66% лиц, принимающих решения в банках, планируют, осуществляют или расширяют проекты цифровой трансформации. Основное внимание в этих проектах уделяется расширению возможностей и цифрового опыта в растущих каналах, таких как мобильные, что обеспечивает беспарольная аутентификация Согласно исследованию Aite-Novarica, в том же духе UX 97% потребителей говорят, что удобство и простота использования являются важными критериями при выборе поставщика услуг.

Подход OneSpan к беспарольному доступу

Подход OneSpan к беспарольной аутентификации основан на более чем 30-летнем опыте работы в качестве стратегического партнера крупнейших мировых банков.

Банки доверяют OneSpan беспарольные решения, поскольку в OneSpan понимают, что беспарольная аутентификация – это движение вперед, и ключевым моментом является наша способность сосредоточиться на идеальной отправной точке, которая отвечает ближайшим целям каждого банка.

Именно по этой причине решения OneSpan являются модульными, чтобы при необходимости удовлетворять конкретные требования. Это может быть переход от аппаратного к программному обеспечению с гибридным развертыванием в среднесрочной перспективе. Это может быть следующий эволюционный шаг в безопасности от SMS OTP к биометрическим, push-уведомлениям, приложениям-аутентификаторам или зашифрованным кодам Cronto. Или еще более комплексный подход к аутентификации без пароля, используя дополнительные технологии безопасности, которые могут защитить приложение мобильного банкинга (и данные клиентов банка) с помощью экранирования приложения и непрерывного мониторинга сессии, который может обнаружить аномальную активность после входа в систему, чтобы предотвратить большее количество мошенничества.

Одним словом, OneSpan использует целостный подход к беспарольной аутентификации, который учитывает опыт пользователей, управление мошенничеством и операционные расходы при обеспечении безопасного доступа, что в конечном итоге позволяет банкам достичь своих целей в срок и в рамках бюджета.

Основные моменты

В заключение следует отметить, что комплексное беспарольное решение хорошо подходит для решения трех основных проблем, с которыми сталкиваются финансовые учреждения: изощренное мошенничество, плохой пользовательский опыт и высокие эксплуатационные расходы.

Однако следует помнить, что не все беспарольные решения одинаковы, как и не все решения в области безопасности похожи друг на друга. Те из них, которые предлагают широчайший выбор методов аутентификации (аппаратных и программных), предотвращают современные фишинговые атаки и атаки вредоносных программ, а также построены на гибкой, быстро развертываемой платформе, обеспечивают наибольший путь к успеху в достижении бизнес-целей банков.

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений OneSpan и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украина, Арменияinfo.ua@oberig-it.com, +38 093 801 04 41.
Казахстанinfo.kz@oberig-it.com, +7 775 395 0803.
Узбекистан, Кыргызстан,  Туркменистанinfo.uz@oberig-it.com, +99897 746 83 40.
Азербайджанinfo.az@oberig-it.com, +994 50 6826105.

Источник: https://bit.ly/3BnuXHD