مشاكل المصادقات الرقمية في البنوك
الاحتيال المصرفي وسرقة الهوية حقيقة مخيفة لكل من المصرفي والمستهلك. قد يكون عدد المستهلكين المتأثرين بالاحتيال على بطاقة الخصم على نطاق واسع أمرًا جيدًا. قد يؤدي التأثير على الحسابات المصرفية للأشخاص إلى زيادة القبول تجاه “التقنيات التخريبية” ، أي الرموز المميزة للأجهزة. قد تكون هذه هي العاصفة المثالية للبنوك. لديك إذن العميل لإخبارهم بما يجب عليهم فعله.
بينما يتصاعد الضغط للوفاء بالموعد النهائي FFIEC ، نرى حركة كبيرة من قبل البنوك الكبرى. طرح Bank of America ، بعد تأخير دام عدة أشهر ، حلًا أمنيًا أصبح الآن إلزاميًا لعملاء الخدمات المصرفية عبر الإنترنت من BofA. يقدم مورد الأمان الرئيسي الآن الرموز المميزة للأجهزة جنبًا إلى جنب مع مصادقة “قائمة على المخاطر” بدون رموز – تطابق جيد.
تعمل البنوك الكبرى على المصادقة متعددة العوامل لسنوات وهي في وضع جيد لمواجهة التحدي. قلقي هو للبنوك المجتمعية والاتحادات الائتمانية. إنهم يواجهون بالفعل صعوبة في التنافس مع الخدمات المصرفية عبر الإنترنت ودفع الفواتير.
ما زلت غير مقتنع بأن الحلول التي أمامنا ستؤمن المصادقة عبر الإنترنت في السنوات القادمة. المصادقة ثنائية العوامل ومتعددة العوامل سترفع مستوى الصعوبة للمخترقين. لكنني أظن أنه بحلول الوقت الذي تنشر فيه البنوك الرموز المميزة وقارئات البطاقات وأجهزة مسح شبكية العين وأجهزة بصمة الإبهام ، سيكون اللصوص قد قاموا بواجبهم المنزلي أيضًا.
ما هو الخطأ في المصادقة متعددة العوامل؟ تكمن المشكلة في معلومات المصادقة المقدمة من العميل في أنها مقدمة من قبل العميل. شخص ما يتظاهر بأنه قد يكون لديك رقم الضمان الاجتماعي الخاص بك ، واسم والدتك قبل الزواج ، ويعرف اسم حيوانك الأليف الأول ، والمولود الأول ، والطعام المفضل لديك.
إذا كان لدي جهاز الكمبيوتر المحمول الخاص بك ، وسلسلة المفاتيح الخاصة بك ، ومحفظتك وأي شيء آخر كان في حقيبتك ، فلن يكون لديك حظ. إذا قمت بتشغيل قاعدة بيانات بصمة الإبهام ، فسأحصل على بصمة الإبهام الوحيدة الخاصة بك مدى الحياة.
يمكن الحصول على أي شيء يمكن احتوائه في قاعدة البيانات من قاعدة البيانات. يمكن سرقة أي شيء في منزلك أو سيارتك أو مكتبك أو غرفة فندقك وفي ستاربكس. نحن بحاجة إلى ابتكار شيء لا يمكن سرقته. الفرق بين المصادقة الثنائية والعوامل المتعددة هو مجرد عدد الأشياء التي أحتاجها منك.
أدخل المصادقة “القائمة على المخاطر”. سيقوم محرك تحليل المخاطر بمراقبة سلوكك المصرفي ، وتحليله ، والإبلاغ عن الحالات الشاذة. هذا مشابه لكيفية عمل أنظمة كشف التسلل. إذا بدا أن هناك شيئًا غير معتاد بشأن موقع المعاملات المصرفية عبر الإنترنت ، أو عدد المعاملات ، أو قيمة المعاملات ، فسيتم تمييز المعاملة.
بينما تتجه البنوك نحو الامتثال لمصادقة المستخدم ذات العاملين ، لا تزال مصادقة موقع الويب تمثل مشكلة يتعين حلها. مع مصادقة المستخدم ، يتم المصادقة على المستخدم للبنك. ولكن ماذا عن مصادقة الموقع المصرفي للمستخدم؟ كيف يعرف المستخدم أنه وصل إلى موقع الويب الصحيح بدلاً من موقع التصيد الاحتيالي؟
يجب أن يكون بائع المصادقة الذي تختاره قادرًا على إظهار ليس فقط طريقة قوية لمصادقة المستخدم ، وطريقة لإدارة المخاطر عبر الإنترنت ، ولكن أيضًا طريقة لمصادقة موقع الويب. التوقيعات الإلكترونية هي إحدى الطرق التي تتناول مصادقة مواقع الويب.
بالنسبة للبنوك الأصغر التي تحاول إبقاء رؤوسها فوق مستوى المتطلبات الجديدة ، هناك العديد من البائعين الذين يمكنهم معالجة جزء من المشكلة. يقدم بعض البائعين مصادقة متعددة العوامل ومصادقة مواقع الويب. في إحدى الحالات ، وجدت بائعًا يقدم الرموز “الافتراضية”. لا يعتمد الحل بشكل أساسي على المعلومات المقدمة من العميل ولا توجد رموز مميزة للأجهزة لتوزيعها. قدمت طريقة مصادقة موقع الويب أعلى مستوى ممكن من التشفير ، وهو “تجزئة آمنة 256 بت”.
يعالج مورد رئيسي آخر مشكلة الاعتماد على المعلومات المقدمة من العميل ويلبي متطلبات المصادقة القوية. الطريقة التي تعمل بها هي عندما يقوم المستخدم بتسجيل الدخول لاستخدام المنتج ، يتم إعطاؤه مجموعة عشوائية من الوجوه لاستبدال كلمة المرور الخاصة به أو مرافقتها. يتم نقلهم من خلال “عملية تعريف” تساعدهم على تذكر صور الوجوه. يمكن إعطاء المستخدم 3 إلى 7 وجوه للحفظ اعتمادًا على مستوى الصعوبة المطلوب. عندما يقوم المستخدم بتسجيل الدخول إلى نظام محمي ، يجب عليه اختيار الوجوه المختارة من مجموعة صور كاملة مع الأفخاخ.
هناك العديد من الحلول في السوق اليوم. الشيء المهم الذي يجب تذكره هو أن امتثال المصادقة ذات العاملين في الأفق. ابتعد عن الحلول التي تعتمد كليًا على المعلومات المقدمة من العميل. خطط لتنفيذ مصادقة الموقع كخطوة تالية. على الرغم من أن مصادقة المستخدم القوية هي المطلب الفوري ، فإن الأمر الصحيح هو مصادقة موقع الويب أولاً (تأكد من أن عميلك يأتي إلى موقع الويب الخاص بك ، وليس المخادع) ، وثانيًا ، المصادقة متعددة العوامل التي لا تعتمد كليًا على المعلومات المقدمة من العميل . الأمور متخلفة قليلاً في الوقت الحاضر ، لكن في الوقت المناسب سوف نلحق أنفسنا.