Чи готові банки сказати прощавай паролям?
Незважаючи на те, що паролі мають свої недоліки, включаючи погану якість обслуговування клієнтів, і схильні до таких атак, як підстановка облікових даних, фішинг, соціальна інженерія та атаки методом перебору, фінансові установи неохоче позбавляються їх. Цим вони відрізняються від технологічних гігантів, включаючи Google і Microsoft, які гаряче підтримують тенденцію відмови від паролів, стверджуючи, що є ефективніші способи перевірки особистості та запобігання шахрайства.
“Існує безліч причин для відмови від паролів”, – сказав Бен Бальтазар, старший консультант по боротьбі з шахрайством компанії OneSpan, під час останньої групової дискусії Fintech Fireside Asia на початку цього тижня.
“Це сприймається як незручність для користувача, але й просте управління паролями призводить до застосування складних політик паролів, які відрізняються для кожної програми. Тому для користувача це стає справжнім головним болем. Потім вони змушують вас змінити пароль через певний проміжок часу”.
Ризики, пов’язані з безпекою паролів
Оскільки паролі – це статичні облікові дані, термін дії яких зазвичай не спливає, вони є легкою мішенню для зловмисників. Крім того, багато людей повторно використовують свої паролі для кількох облікових записів, що створює ризик практично одночасної компрометації цих облікових записів, якщо зловмиснику вдасться заволодіти єдиним паролем, – каже Вілл Таллі, керівник регіонального відділу боротьби з шахрайством HSBC.
Масові витоки даних, включаючи LinkedIn та Yahoo, свідчать про недоліки паролів, сказав він. У банківському секторі клієнти OCBC, другого за величиною банку Сінгапуру, нещодавно попалися на фішингову SMS-аферу, в результаті якої близько 790 користувачів були обдурені на 13,7 млн. сінгапурських доларів, зазначив він.
“Існує реальний ризик, пов’язаний із паролями”, – сказав Вілл. “Банки розглядають можливість посилення контролю та відходу від паролів”.
Хоча немає сумнівів у тому, що перевірка особи повинна розвиватися, запровадження нових безпарольних методів відбувається дещо повільно, і це насамперед пов’язано з технологічними обмеженнями, сказав Мхел Т. Плабасан, директор Департаменту з нагляду за технологічними ризиками та інноваціями Bangko Sentral ng Pilipinas ( BSP), центрального банку Філіппін.
“Ймовірно, основна проблема з точки зору впровадження цієї технології полягає в тому, що зараз існує безліч додатків, які поки що не підтримують безпарольну автентифікацію”, – сказав Мел.
“Інфраструктура також може стати проблемою. І, звичайно, якщо помножити це на кількість додатків в організації, це може стати величезною проблемою як з точки зору складності, так і з точки зору витрат”.
Не лише це, а й залучення вищого керівництва до використання цих нових методів також може бути складним завданням.
“Безпарольна автентифікація – це перехідний період”, – сказав Мел. “У міру того, як все більше організацій переконуватимуться у перевагах безпарольної автентифікації, все більше організацій переходитимуть на безпарольну автентифікацію, враховуючи переваги, включаючи зручність для користувачів та підвищену безпеку”.
Регулювання може враховувати ці нові методи автентифікації, зазначив Мхел, згадавши, що центральний банк Філіппін був одним із перших прихильників безпарольної аутентифікації та одним із перших в Азіатсько-Тихоокеанському регіоні (АТР) ввів регулювання автентифікації на основі ризиків у 2017 році.
Застосування обмеження там, де це має сенс
Слідом за Мелом, Вілл сказав, що перехід на безпарольну систему вимагатиме від банків відмови від “бінарного підходу до автентифікації” на користь автентифікації на основі оцінки ризику, коли для різних рівнів ризику застосовуються різні рівні суворості процесів автентифікації.
“[Автентифікація на основі ризику] – це можливість оцінити ризик певної дії, яку ви робите в Інтернеті, і за необхідності додати обмеження, щоб зробити це було складніше і щоб ми підвищували рівень автентифікації у потрібний час”, – сказав Вілл.
“Насправді, будь-який захист, у тому числі і безпарольний, повинен включати автентифікацію на основі ризиків як стратегію. У HSBC ми приділяємо велику увагу автентифікації на основі ризиків, щоб ми могли кинути вам виклик в Інтернеті”.
Бен сказав, що в майбутньому поведінкова аналітика стане ключовим компонентом для безпарольних методів, допомагаючи виявляти аномалії в поведінці користувачів за допомогою комбінації науки про дані, алгоритми машинного навчання (ML) та штучного інтелекту (AI), а також проактивно виявляти спроби шахрайства.
“У вас буде настільки більше даних, що ви почуватиметеся набагато комфортніше в плані меншої автентифікації”, – сказав Бен.
“Зрештою, ви зможете дійти до того, що для деяких базових речей, таких як перевірка балансу в мобільному додатку вам взагалі не доведеться проходити ідентифікацію”.
Але зрештою все зводиться до того, як впроваджуватимуться ці нові технології і чи буде розроблена правильна ширша стратегія.
“Підтримка технологій – це не тільки те, що ви використовуєте як рішення, а й екосистема, що їх оточує, матиме велике значення”, – сказав Бен.
“Проблема, яку ми часто бачимо, полягає в тому, що банки приймають правильну технологію, впроваджують її, але часто неправильно, тобто припускаються невеликих помилок у застосуванні технології, і це зазвичай закінчується новими ризиками, яких у них раніше не було. У них виникає ілюзія, що нова технологія, яку вони запровадили, вирішить усі їхні проблеми”.
Мхед зазначив, що, як і будь-яка нова технологія, безпарольні методи також мають свої ризики, особливо коли такі технології, як глибокі підробки, потенційно можуть оминути біометричну автентифікацію, таку як розпізнавання обличчя та голосу.
“Жодна технологія не є на 100% безпечною”, – сказав він.
«Це рішення про перехід на механізм автентифікації без пароля має бути підкріплене відповідною оцінкою ризиків та належною обачністю».
Дивіться запис вебінару, під час якого детально розповіли про роль двофакторної автентифікації у захисті від сучасних атак, а також провели демонстрацію рішення OneSpan.
Тема вебінару: “OneSpan: Роль двофакторної автентифікації у захисті від сучасних атак”.
З питань проведення індивідуальної демонстрації, пілотного тестування рішення OneSpan і організації партнерських тренінгів звертайтеся, будь ласка: [email protected], +38 093 801 04 41.
Джерело: https://bit.ly/3LWguVm
