Telepon terpercaya yang muncul sebagai salah satu elemen kunci dalam skema otentikasi multifaktor baru yang dirancang untuk melindungi perbankan online dan lainnya berbasis web transaksi keuangan yang berkembang pesat dari ancaman keamanan.
Pedoman federal baru di AS, yang mulai berlaku bulan lalu, merekomendasikan beberapa lapisan kontrol keamanan di luar tradisional username / password, khususnya out-of-band metode otentikasi.
Sedangkan Keuangan federal Lembaga Pemeriksaan Council (FFIEC) aturan berlaku khusus untuk bank, koperasi kredit, pemberi pinjaman hipotek, dan tabungan dan pinjaman, setiap organisasi yang berkaitan dalam transaksi keuangan online seperti portal belanja, perusahaan kartu kredit dan pembayaran tagihan secara online terpengaruh.
Point, counterpoint
Salah satu senjata utama dalam gudang hacker saat ini adalah phishing sandi. Dalam skenario ini, hacker menggunakan email phising untuk mencuri data perbankan online dan masuk ke account pengguna.
Sebagai tanggapan, bank dan lembaga keuangan lainnya telah dikerahkan teknologi seperti identifikasi perangkat, pertanyaan tantangan dan satu kali token password, menurut Sarah Fender, wakil presiden manajemen produk di otentikasi penjual PhoneFactor.
Analis Forrester Andras Cser menekankan bahwa login ID dan password tidak lagi cukup. Dia mengatakan gambar terpilih, pertanyaan tantangan, informasi perangkat, dan reputasi perangkat semua otentikator faktor efektif kedua.
Namun masalah dengan banyak dari mereka "di-band" metode otentikasi adalah bahwa perangkat itu sendiri mungkin terinfeksi dengan malware, menambahkan Fender.
Plus ada ancaman yang lebih maju, seperti keyloggers, Manusia di Browser (MITB) dan Manusia dalam (MITM) serangan Tengah, yang memerlukan langkah-langkah keamanan bahkan lebih canggih.
Analis Gartner Ant Allan mengatakan: "Hampir setiap teknik otentikasi dapat dikompromikan atau dielakkan Otentikasi adalah lebih baik daripada password warisan untuk meminimalkan risiko untuk serangan 'cepat dan kotor' seperti phishing, tapi ada batas untuk utilitas untuk mencari yang lebih tinggi. jaminan metode yang lebih sulit untuk berkompromi secara langsung. Pada titik tertentu, para penyerang akan pindah ke serangan MITB, yang membajak sesi sudah dikonfirmasi, efektif melewati otentikasi, untuk memanipulasi rincian transaksi atau memasukkan transaksi palsu. "
Allan mengatakan ada dua teknologi canggih yang efektif dalam memerangi tanaman saat serangan: Web Penipuan Deteksi dan Verifikasi Transaksi.
Menurut Allan, Deteksi Penipuan Web mengevaluasi informasi kontekstual tentang konektivitas pengguna (endpoint identitas, lokasi geografis, dan sebagainya) dan mencari perilaku transaksional anomali (dibandingkan dengan sejarah pengguna dan ke pengguna lain, misalnya, beberapa pengguna membuat transfer ke sama baru akun?).
Verifikasi Transaksi menggunakan sejumlah teknik untuk mengkonfirmasikan bahwa rincian transaksi yang diterima oleh bank (a) berasal dari pengguna dan (b) adalah apa yang user inginkan. Transaksi konfirmasi Interaktif melalui metode out-of-band, yang dituangkan dalam pedoman FFIEC, efektif untuk sesi desktop browser dan mungkin pilihan yang paling menarik.
Tentu saja, ada yang lebih kuat metode keamanan - OTP (one-time password) hardware token dengan bantalan PIN dan pembaca EMV pembayaran (Europay, MasterCard, Visa) kartu - tapi bank telah berjalan melawan resistensi pelanggan untuk jenis keamanan tindakan.
State-of-the-art authenticationBerikut adalah beberapa pilihan saat ini untuk otentikasi efektif transaksi online.
- Risk-based authentication
"RiskFort mengumpulkan berbagai data tentang setiap login atau transaksi untuk menghasilkan skor risiko yang berasal dari analisis dan aturan," kata Ram Varadarajan,general manager CA Keamanan Arcot solusi, CA Technologies.
Dia menambahkan, "skor risiko menentukan tindakan apa, jika ada, untuk mengambiluntuk transaksi tertentu, seperti membutuhkan bentuk yang lebih tinggi dari otentikasi Ini adalah sebuah skenario di mana berbasis risiko otentikasi ini bekerja sama denganotentikasi yang kuat.. Jika transaksi mencurigakan muncul , faktor otentikasi dapat dipanggil untuk 'meningkatkan' otentikasi dan keamanan. "
Versatile authentication platforms
Salah satu teknologi perbaikan adalah grid dipatenkan elektronik Entrust itu (eGrid),sederhana, dua faktor otentikasi sistem yang membutuhkan sedikit atau tidak adateknologi pendukung. Ini adalah grid dua-karakter kode diindeks oleh huruf dan angka.Sebuah bank dapat meminta pengguna, misalnya, untuk menyediakan kode untuk E4, A1, H3. Pengguna terlihat mereka pada / nya eGrid dan menjawab CX, G3, 23 (yang, jelas,berbeda pada setiap kartu), dan jika pertandingan tabel terkait, maka otentikasi sudah benar.
"Perhatikan bahwa tidak memerlukan pengguna untuk memiliki smart card, token, atau teknologi pendukung lainnya," tambah Callas. "Hal ini dapat dicetak, disimpan sebagaigambar, timbul di lencana atau hampir hal lain saya memiliki satu yang adalah gambar, yang saya terus iPhone saya, dan saya gunakan untuk otentikasi ke web mail.."
Phone-based authentication
"Telepon berbasis otentikasi cepat menjadi metode pilihan," kata Fender PhoneFactoritu. "Sistem ini memanfaatkan telepon pengguna sebagai perangkat terpercaya untukfaktor otentikasi kedua Telepon sangat sulit untuk menduplikasi dan nomor telepon yangsangat sulit untuk mencegat.. Kombinasi dari telepon dan username dengan hasil sandi yang kuat, multi-faktor otentikasi dengan dampak minimal pada pengalaman pengguna. "Dia menambahkan: "PhoneFactor pengguna dapat memilih mana metode otentikasimereka lebih suka seperti panggilan telepon atau pesan teks, dan semua solusi inimemberikan tingkat yang sama out-of-band keamanan dan kenyamanan fitur keamanantambahan mencakup modus PIN, voiceprint, dan transaksi. verifikasi, yang dapat dipetakan ke pengguna tertentu dan / atau tingkat risiko.''
