二年生の先生の名前を覚えていますか?あなたの母方の祖父のミドルネームはどうですか?パスワードを忘れたことがあれば、アカウントの1つにアクセスしようとしたときに、ナレッジベース認証(KBA)のフラストレーションを直接体験したことは間違いありません。

KBAの質問

最近のアメリカンバンカーのウェビナーで実施されたNeustarの世論調査によると、銀行の63%は、顧客を認証するためにKBAの質問に完全に依存しています。私たちが火星でヘリコプターを飛ばすことができる時代に生きているとは信じがたいですが、それでも顧客の身元を確認するためにそのような粗雑なツールを使用しています。

KBAは、ユーザーだけでなく、アカウントの乗っ取り個人情報の盗難などの不正なスキームから自分自身とその顧客を保護しなければならない企業にとっても、煩わしさと摩擦の領域であると一般に理解されています

KBAの問題は、ほとんどの大企業組織がカスタマーサービスをサードパーティのコンタクトセンターにアウトソーシングしていることを考えると、特に悲惨なものになります。その結果、これらのコンタクトセンターにスタッフを配置する従業員は、彼らが搾取の熟した標的であることを認識するハッカーリングの標的にされることが増えています。これは、連邦金融機関試験評議会の2021ガイドラインが、身元を確認するために知識ベースの質問に依存することを強く推奨する多くの理由の1つです。

KBAの既知の弱点と、より高度な認証テクノロジーの可用性を考えると、なぜそれらが持続し続けるのでしょうか。また、最新の認証システムはどのように見えるべきでしょうか。

ハッキングは必要ありません

KBAはインターネットの初期には十分な保護層を提供していたかもしれませんが、オンラインやソーシャルメディアを介して利用できる膨大な量の個人情報により、その有用性は低下しています。

最も怠惰なサイバー犯罪者でさえ、簡単なグーグル検索であなたの個人的な背景についての一般的な質問への答えを見つけることができます。そして、他のより個人的な質問については、ソーシャルメディアでこの情報を提供するユーザーの意欲を考えれば、彼らは掘り下げる必要さえありません。

Facebookで時間を過ごすなら、あなたが知っている誰かが、「あなたの最初の車は何でしたか?」のように、彼らのフィードに一見ノスタルジックな質問をするのを見たことは間違いありません。あるいは、誰かが無害なクイズのバリエーションを共有しました。このクイズでは、最初のペットの名前と育った通りの名前を組み合わせて、ドクター・スースのキャラクターを導き出すことができます。これらの回答を十分にまとめると、突然、悪意のある人物が、消費者の銀行やクレジットカードのアカウントにアクセスするために悪用できる便利な個人情報の書類をまとめました。

KBAの質問のリスク

連邦政府は、KBAによってもたらされるリスクを長い間認めており、NIST独自のガイドラインは、デジタルアプリケーションに対するKBA明確に否定しています。それらにより、KBAは攻撃者による使用に成功するリスクが許容できないほど高くなります。」

一方、Googleの調査によると、1年前に好きな食べ物として置いたものを覚えている人は47%に過ぎず、ハッカーは20%近くの確率で食べ物を推測でき、アメリカ人の最も一般的な回答はもちろん)ピザであること。また、ユーザーがこれらの質問の1つに対する正しい答えを覚えていても、答えの正確な形式を忘れることがあり、そのすべてが苛立たしいカスタマーエクスペリエンスにつながります。

検証時間が長引くと、必然的に、新しいアカウントの開設など、顧客がトランザクションを放棄することになり、ビジネスの遅延や損失につながります。当然のことながら、顧客の身元を確認するのに時間がかかるほど、プロセスを完全に放棄する可能性が高くなります。

これは、企業がバランスをとらなければならない細かい線です。ビジネスや顧客を不正行為にさらすことなく、摩擦のない合理化されたユーザーエクスペリエンスをどのように提供しますか?

認証へのリスクベースのアプローチに向けて

セキュリティとカスタマーエクスペリエンスの間の緊張を解消するには、新しいアプローチが必要です。これは、認証のネクサスの中心にリスクを正直に置くものです。リスクベースのアプローチは、企業の特定の認証ポリシーにリアルタイムで適応します。これは、2つ以上の認証および承認テクノロジーを統合されたアプローチに頻繁に組み合わせて、トランザクション中に存在するさまざまなリスク要因に基づいて適切なレベルの認証を提供するという点で動的です。

リスクベースのアプローチの放棄認証の方法と厳密には危険因子の存在によって決定される文脈と連続的なアプローチを支持する静的、単一のロックされたゲート。たとえば、顧客が信頼できるデバイスを使用して既知の場所からログインしていて、当座預金口座の残高を確認するなどのリスクの低いアクティビティの実行を要求している場合、おそらくジャンプを強制する必要はありません。すべての認証フープを介して。

逆に、顧客が問題のある地理的地域からアプリケーションにログインして資金を送金しようとしている場合、そのようなリスク要因は、生体認証、ユーザー定義のPINコードの要求、または要求など、2番目または3番目の認証要素を自動的にトリガーします。ワンタイムパスコードに応答するユーザー。

古いことわざにあるように、コンテキストがすべてです。この点でコンテキストを意識することは、認証の時点で起こりうるすべてのリスクを評価しながら、近くおよび遠くのリスクを考慮することを含みます。ユーザーの電話がジェイルブレイクされているか、デバイス自体が奇妙な画面解像度を報告しているかなど、一見マイナーなコンテキスト要因はリスクが高いことを示していない可能性がありますが、これらの要因を総合的に考慮すると、何かが間違っていることを示す強力な指標になる可能性があります。

知識ベースの質問のような認証プロトコルは、最も強化されたセキュリティレイヤーではありませんが、顧客エクスペリエンス全体でリスクが継続的に測定されている場合は、より堅牢な認証スキームの有用な部分である可能性があります。ただし、このコンテキストを差し引くと、セキュリティシアターにすぎません。

コメントをどうぞ