Loader

3 ключові умови для кращих рішень аутентифікації без пароля

Фінансові установи все частіше оцінюють та впроваджують рішення безпарольної автентифікації для боротьби з витонченим шахрайством, низькою якістю обслуговування користувачів та високими експлуатаційними витратами на паролі.

Банки стикаються з величезною кількістю шахрайства. Втрачені та вкрадені паролі є джерелом для захоплення рахунків (ATO), витоку даних та інших видів шахрайства. Сьогодні в “темній павутині” виявлено понад 15 мільярдів вкрадених паролів, багато з яких банківські клієнти використовують повторно на різних сайтах та цифрових екосистемах. Це призводить до різкого зростання шахрайства, яке, за оцінками ФБР, обходиться банкам і підприємствам приблизно 6,9 мільярда доларів. Рішення без пароля за своєю суттю ефективніші у запобіганні шахрайству, оскільки хакерам просто нема чого зламувати або красти за допомогою шкідливих програм для мобільних пристроїв, троянів або соціальної інженерії.

Хоча боротьба з шахрайством важлива, зростання доходів ще важливіше. Згідно з недавнім дослідженням Forrester, 39% банків заявили, що зростання доходів стоїть на першому місці серед їхніх пріоритетів. Ключовим фактором зростання цифрових каналів є надання зручного для користувачів досвіду. Чим простіше клієнту банку отримати безпечний доступ до банківського додатку, тим більше послуг він використовує, що збільшує дохід. Рішення без пароля забезпечують саме таку зручність для користувачів.

І, нарешті, платформи на основі паролів набагато дорожчі в підтримці, ніж платформи без паролів. Згідно з минулорічним дослідженням Ponemon Institute Survey Аутентифікація без пароля економить середньому підприємству близько 1,9 мільйона доларів, причому значна частина витрат припадає на службу підтримки, пов’язану в основному зі скиданням паролів.

Очевидно, що безпарольна автентифікація може вирішити кожну з трьох перелічених вище проблем, але які можливості рішення є ключовими для успішної служби або розгортання безпарольної автентифікації в банку? Нижче перераховані три основні, що мають найбільший вплив:
· Широкий спектр методів автентифікації без пароля.
· Можливість боротьби зі складним шахрайством при вході до системи та після входу до системи.
· Швидкість та гнучкість розгортання нових технологій аутентифікації без пароля.

Далі буде розглянуто кожну з цих трьох умов детальніше.

Методи розширеної автентифікації
Для ефективної стратегії та розгортання безпарольної аутентифікації абсолютно необхідний широкий спектр підтримуючих технологій багатофакторної аутентифікації (MFA). Це може включати поєднання апаратних (наприклад, смарт-карта) та програмних (наприклад, ключ безпеки) засобів у гібридних розгортаннях. Це так важливо, тому що перехід на безпарольний режим – це шлях, який має враховувати очікування кожного сегменту клієнтів вашого банку, а також відповідний рівень безпеки для боротьби з шахрайством.

Наприклад, одна група клієнтів банку може бути зовсім не проти увійти в свій банківський додаток за допомогою біометричного сканування особи або відбитка пальця на своєму мобільному пристрої, тоді як інші групи клієнтів вважають за краще використовувати push-повідомлення для отримання доступу. Очікування цих різних груп кінцевих користувачів також змінюватимуться залежно від випадку використання. Так, звичайна перевірка балансу може бути здійснена за допомогою біометричного способу. Але для переказу великих коштів може знадобитися безпечніший, зашифрований кольоровий QR-код для автентифікації користувача та його транзакції. Такий код може бути просто відсканований за допомогою мобільного або апаратного токена, що забезпечує найвищий рівень захисту від атак соціальної інженерії та атак типу “людина посередині”.

Без можливості легко комбінувати та впроваджувати різноманітні безпарольні програмні та апаратні методи аутентифікації банки ризикують позбавити можливості користуватися послугами основних сегментів користувачів.
Коротше кажучи, будь-який підхід до безпарольного переходу повинен враховувати очікування клієнтів щодо входу до системи та дозволяти змішувати та поєднувати варіанти автентифікації, включаючи апаратні та програмні засоби, щоб найкраще задовольнити очікування кожної групи у банківських каналах.

Складні заходи щодо боротьби з шахрайством
Використання безпарольної автентифікації для забезпечення відмінного досвіду користувача – це фантастика, але вона не принесе реальної користі, якщо не запобігатиме широкому спектру шахрайських схем, які в даний час існують в природі. Найуспішніші атаки шахраїв – це не атаки методом грубої сили або шкідливого коду для проникнення в локальну систему керування ідентифікацією та доступом або в Active Directory. Найуспішніші атаки сьогодні спрямовані на клієнта банку (тобто соціальна інженерія) та на мобільний банківський додаток (тобто шкідливі програми та трояни).

Згідно Statista Report, банки входять до трійки організацій, що найбільш часто атакуються фішингом, а інший звіт показав 300%-ве зростання фішингу, спрямованого на клієнтів банків. Крім того, широко доступні фішингові набори для продажу в “темній павутині” дозволяють швидко, легко та дешево розміщувати фішингові сайти, які дозволяють атакувати клієнтів банків.

Шахрайство у каналі мобільного банкінгу також важливо враховувати. За даними дослідження Aite-Novarica survey 65% споживачів у США, Великобританії та Німеччині заходять на свій рахунок через мобільний телефон хоча б раз на тиждень. Якщо врахувати зростаючу залежність від мобільних пристроїв та недавнє опитування DevSecOps, яке показало, що 47% розробників вважають безпеку важливою, але не мають часу на її забезпечення, виникає тривожна тема – зростання використання мобільних пристроїв при зниженні рівня безпеки у мобільних додатках для банківських операцій. Таким чином, захист робочого процесу автентифікації без пароля та забезпечення надійної автентифікації у банківському додатку має вирішальне значення.

Комплексне рішення для автентифікації без пароля, яке усуває ці ризики шахрайства, поєднує фактори автентифікації без пароля з додатковою технологією безпеки. Оптимальне рішення включає захищений від фішингу безпарольний метод, такий як технологія Cronto від OneSpan, а також екранування додатків, безпечний канал і безперервний моніторинг сеансів.
· Cronto є надійною безпарольною технологією і, будучи ініційованою банком, ефективно пом’якшує атаки фішингу.
· Екранування програм захищає мобільний банківський додаток від злому, зворотної розробки та шкідливих програм, які можуть розкрити облікові дані та сприяти шахрайству із захопленням рахунку.
· Безпечний канал забезпечує зашифрований зв’язок між клієнтом та сервером, що запобігає атакам типу “людина посередині”.
· Безперервний моніторинг сеансів виходить за рамки початкового входу в систему, щоб посилити безпеку для інших дій того ж сеансу, таких як зміна бенефіціара.

Хоча очевидно, що хакери мають у своєму розпорядженні великі інструменти для ATO і пов’язаного з ним шахрайства, безпарольна автентифікація в парі з цими додатковими технологіями безпеки добре підходить для запобігання навіть найвитонченішим атакам, забезпечуючи при цьому кращий, безпроблемний досвід користувача.

Розширювана платформа автентифікації
На основі різних типів технологій безпарольної автентифікації та можливості виявлення та запобігання шахрайству виникає потреба у гнучкій базовій платформі, що дозволяє за необхідності вносити прості та спеціальні зміни.

Можливо, це не найвдаліший приклад, але все жу явіть – зараз 2017 рік, і NIST офіційно заявляє, що SMS для 2FA є застарілим рішенням. Чому? Вразливості було добре задокументовано. Наприклад, недоліки безпеки мережі SS7, які можуть бути використані для перехоплення або перенаправлення SMS-повідомлення, що містить одноразовий пароль (OTP). Або підміна SIM-картки, яка полягає в обмані оператора мобільного зв’язку та видачі йому нової SIM-картки з номером клієнта вашого банку, що дозволяє шахраю отримувати всі OTP та доступ до рахунків.

Якщо ви є менеджером банку з ІТ-безпеки та використовуєте SMS OTP, що ви робите? Наскільки легко розгорнути новий метод автентифікації? Який вплив на клієнтів?

У багатьох банках метод автентифікації користувачів та робочий процес жорстко закодовано. Це фактично означає, що будь-яка зміна методу автентифікації вимагатиме повного переписування коду банківської програми та відповідних робочих процесів автентифікації. Очевидно, що це пов’язано із значними витратами для банку та підвищує ризик порушення роботи клієнтів банку.

По-справжньому гнучка хмарна платформа безпарольної автентифікації дозволяє динамічно змінювати методи автентифікації на льоту, які можна перенести у виробництво за лічені хвилини. Крім того, в безпарольній MFA можна використовувати безліч безпечніших варіантів, ніж SMS OTP, включаючи push-сповіщення, Cronto та біометричну автентифікацію (тобто біометрію вбудованих пристроїв, біометрію сторонніх виробників, поведінкову біометрію, відкритий стандарт-FIDO та версії нового покоління ).

Зрештою, якщо будь-який метод автентифікації стає вразливим, банкам обов’язково потрібна платформа, здатна швидко та легко внести зміни без шкоди клієнтам. Без такої можливості ризик шахрайства зростає у геометричній прогресії.

Безпарольні потоки
Проекти безпеки, такі як безпарольна автентифікація, завжди є предметом пильної уваги з боку професіоналів банківського бізнесу. Часто виникають такі питання: “Як цей проект узгоджується з нашими цілями зростання?” або “Як цей проект вплине на операційні витрати?”

За останні кілька років ідея безпарольної автентифікації набула значного розвитку. Значною мірою це пов’язано з ініціативами з цифрової трансформації, які ставлять в основу клієнтський досвід, що сприяє зростанню. За даними нещодавнього дослідження Forrester, 66% осіб, які приймають рішення у банках, планують, здійснюють чи розширюють проекти цифрової трансформації. Основна увага в цих проектах приділяється розширенню можливостей та цифрового досвіду в зростаючих каналах, таких як мобільні, що забезпечує безпарольну автентифікацію. Згідно з дослідженням Aite-Novarica, у тому ж дусі UX 97% споживачів говорять, що зручність та простота використання є важливими критеріями при виборі постачальника послуг.

Підхід OneSpan до безпарольного доступу
Підхід OneSpan до безпарольної автентифікації заснований на більш ніж 30-річному досвіді роботи як стратегічного партнера найбільших світових банків.

Банки довіряють OneSpan безпарольні рішення, оскільки у OneSpan розуміють, що безпарольна автентифікація – це рух уперед, і ключовим моментом є здатність зосередитись на ідеальній відправній точці, яка відповідає найближчим цілям кожного банку.

Саме тому рішення OneSpan є модульними, щоб при необхідності задовольняти конкретні вимоги. Це може бути перехід від апаратного до програмного забезпечення з гібридним розгортанням у середньостроковій перспективі. Це може бути наступний еволюційний крок у безпеці від SMS OTP до біометричних, push-повідомлень, додатків-автентифікаторів або зашифрованих кодів Cronto. Або ще більш комплексний підхід до автентифікації без пароля, використовуючи додаткові технології безпеки, які можуть захистити програму мобільного банкінгу (і дані клієнтів банку) за допомогою екранування програми та безперервного моніторингу сесії, який може виявити аномальну активність після входу в систему, щоб запобігти більшій кількості шахрайства.

Одним словом, OneSpan використовує цілісний підхід до безпарольної автентифікації, який враховує досвід користувачів, управління шахрайством та операційні витрати при забезпеченні безпечного доступу, що в кінцевому підсумку дозволяє банкам досягти своїх цілей у строк та в рамках бюджету.

Основні моменти
На закінчення слід зазначити, що комплексне безпарольне рішення добре підходить для вирішення трьох основних проблем, з якими стикаються фінансові установи: витончене шахрайство, поганий користувацький досвід та високі експлуатаційні витрати.

Однак слід пам’ятати, що не всі безпарольні рішення однакові, як і не всі рішення в галузі безпеки схожі один на одного. Ті з них, які пропонують найширший вибір методів автентифікації (апаратних і програмних), запобігають сучасним фішинговим атакам і атакам шкідливих програм, а також побудовані на гнучкій платформі, що швидко розгортається, забезпечують найкращий шлях до успіху в досягненні бізнес-цілей банків.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення OneSpan і організації партнерських тренінгів звертайтеся, будь ласка: info.ua@oberig-it.com, +38 093 801 04 41.

Джерело: https://bit.ly/3BnuXHD