MFA i zalety uwierzytelniania adaptacyjnego. Poszukiwanie równowagi między cybersecurity i user experience

Stosowanie zaawansowanych zabezpieczeń w procesie autoryzacji transakcji i uwierzytelniania użytkowników jest nieodzowną częścią dzisiejszej rzeczywistości w świecie online ‒ istną plagą naszych czasów stały się próby przejęcia kont (Account Take Over, ATO), a cyberprzestępcy nieustannie wymyślają nowe formy oszustw w Internecie. W ostatnich latach liczba cyber przestępstw w sektorze finansowym zwiększyła się przeszło ośmiokrotnie, a zagrożenie objęło miliardowe sumy.

Istnieje wiele różnych form ATO. Wśród nich wyróżnić można ataki, które bazują na wyszukanych próbach wyłudzenia danych logowania (phishing), infekowaniu urządzeń oprogramowaniem malware oraz trojanami bankowymi, a także credential stuffing.

Jeśli weźmiemy pod uwagę, że ponad 60% ofiar ATO posługiwało się tym samym hasłem dostępu do wielu platform (w tym także do social mediów), oczywistym staje się, że samo hasło nie jest wystarczającym zabezpieczeniem dostępu i istnieje potrzeba stosowania dodatkowej formy uwierzytelniania.

Bezpieczeństwo aplikacji bez szkody dla UX

Problem pojawia się w momencie, gdy instytucje finansowe próbują implementować odpowiednie zabezpieczenia do swoich starannie zaprojektowanych aplikacji. Dobrym przykładem będą tu aplikacje bankowe, wealth managementowe lub płatnicze.

Obecnie, gdy zakres proponowanych usług nie jest już kluczowym czynnikiem konkurencyjności, bo większość podmiotów sektora finansowego proponuje podobne rozwiązania, szczególnie istotne stają się różnice w komforcie użytkowania (UX) aplikacji. Tymczasem, proponowane rozwiązania uwierzytelniania wielopoziomowego (MFA) często nie sprzyjają zachowaniu najwyższego poziomu wygody użytkownika.

UX nie jest jednak jedyną rzeczą, którą należy wziąć pod uwagę przy tworzeniu aplikacji. Dyrektorzy ds. bezpieczeństwa informacji (CISO) nie bez powodu przywiązują wielką wagę do stosowania odpowiedniej ochrony przed fraudami. Te dodatkowe środki bezpieczeństwa niejednokrotnie wymuszają na użytkownikach aplikacji podjęcie kolejnych kroków.

Przykładowo, zawsze gdy następuje zalogowanie z nowego urządzenia, przelew na kwotę przekraczającą zdefiniowane progi bezpieczeństwa czy próba zmiany danych zaufanych odbiorców, użytkownik proszony jest o dodatkowe potwierdzenie swojej tożsamości. Może to zrobić przez użycie hasła jednorazowego, otrzymanego za pomocą SMS-a, akceptując wiadomości push, albo wpisując kod PIN generowany za pomocą tokena sprzętowego.

W większości przypadków, po wykonaniu dodatkowych kroków, transakcja zostaje poprawnie uwierzytelniona i użytkownik może kontynuować swoje działania w aplikacji. Czasem próba uwierzytelnienia lub autoryzacji może zakończy się niepowodzeniem, na przykład kiedy zdarzy literówka przy próbie wpisania PIN-u czy hasła, albo sytuacja, w której użytkownik nie zdąży zaakceptować wiadomości push. Czasem jednak takie przypadki niepoprawnej autoryzacji mogą się okazać próbą przejęcia konta.

Najlepszy scenariusz z punktu widzenia UX zakłada, że jedyną grupą, która zostanie zmuszona do wykonania kolejnych kroków autoryzacyjnych, będą cyberprzestępcy, natomiast prawowici użytkownicy nie będą proszeni o podejmowanie żadnych dodatkowych działań.

Adaptacyjne podejście do ryzyka transakcji

Tylko jak określić odpowiedni moment wdrożenia procedury MFA? Najbardziej zaawansowane zabezpieczenia przed cyber oszustwami opierają się na obliczaniu ryzyka poszczególnych transakcji, dzięki czemu nie ma potrzeby stosowania MFA w każdym przypadku. Użytkownik proszony jest o dodatkowe potwierdzenie tożsamości tylko wtedy, gdy zostaną przekroczone określone progi bezpieczeństwa. Taki sposób działania, kiedy metoda autoryzacji i uwierzytelniania jest dopasowywana do skalkulowanego ryzyka konkretnej transakcji, jest charakterystyczny dla uwierzytelniania adaptacyjnego.

W takim podejściu ryzyko transakcji jest obliczane na podstawie obszernego zestawu danych. Dotyczą one m.in. parametrów urządzenia, z którego korzysta użytkownik, zachowań typowych dla użytkownika czy danych geolokalizacji. Każdy element wskazujący na zachowanie odbiegające od normy traktowany jest jako podejrzany i wpływa na wyliczoną wartość ryzyka.

Inne czynniki, które mogą wskazywać na podwyższone ryzyko transakcji, to obecność złośliwego oprogramowania oraz wyniki analizy aplikacji zainstalowanych na urządzeniu. Aplikacje są analizowane pod kątem uprawnień, z których korzystają. Nadmierne uprawnienia aplikacji mogą narazić użytkownika na kradzież danych logowania, na przykład poprzez przechwytywanie znaków wpisywanych na klawiaturze.

Innowacja w służbie klienta

Aby sektor finansowy mógł w pełni i w sposób odpowiedzialny korzystać z digitalizacji usług, instytucje finansowe muszą zadbać o zapewnienie bezpieczeństwa urządzeń swoich klientów. Połączenie powszechnie uznanych procedur MFA z innowacyjnym uwierzytelnianiem adaptacyjnym, opartym na kalkulacji ryzyka transakcji, to sposób na ochronę przed cyber zagrożeniami bez negatywnego wpływu na UX.

To rozwiązanie pozwala w pełni pogodzić podejście biznesowe ze stosowaniem ścisłych standardów bezpieczeństwa, tym samym przyczyniając się do budowania przewagi konkurencyjnej, jednocześnie mając na uwadze zadowolenie i bezpieczeństwo klienta końcowego.

Natalia Karbowska,

Cyber Security Product Manager  Comarch.