Аутентифікація завжди була і залишається критичним місцем безпеки. Однак тепер через поширення онлайн-сервісів додалася проблема зручності проходження перевірки. Керівник напрямку по боротьбі з онлайн-шахрайством "Лабораторії Касперського" Олександр Ермакович розповів про те, чому застосування аутентифікації на основі ризиків має підвищити захист користувачів і зробити перевірку більш зручною.

Що в основному використовують сьогодні для перевірки користувачів онлайн-сервісів? Те ж, що і 20 років тому - паролі. Даний підхід зживає себе і до нього є багато серйозних претензій, головні з них - це безпека і зручність. Користувачі намагаються полегшити собі життя і використовувати один і той же пароль на різних сервісах. Про це, звичайно ж, знають шахраї, через що підбір і перевірка паролів давно поставлені на рейки автоматизації. Крім того, незручний введення символів на мобільному пристрої призводить до знижених вимогам до паролю, що, знову ж таки, створює проблеми безпеки.

Для вирішення цих завдань почали застосовувати підхід двофакторної аутентифікації. Він передбачає використання трьох основних чинників, що відповідають на питання: що я знаю, що у мене є і що я є. Що я знаю - це зазвичай пароль або ПІН, що у мене є - токен або пристрій, що я є - це біометрія (палець, обличчя, сітківка ока і інші більш екзотичні дані типу малюнок вен). Вважається, що для надійної аутентифікації досить застосовувати два з трьох чинників. Найбільшого поширення набули одноразові паролі (ОТР) через SMS і генеруються ОТР. Про це докладніше читайте в окремій статті:

Двухфакторная аутентифікація для захисту фінансових сервісів: проблеми використання

При всіх плюсах ОТР-підходу, у нього ще залишаються суттєві недоліки, основні з яких - це зручність і вартість. Для перевірки кінцевих користувачів (consumers) найчастіше використовується аутентифікація за допомогою SMS-повідомлення. А SMS коштує грошей, при чому значних. Зараз багато компаній, що використовують такий підхід, шукають йому заміну або способи його поліпшення, щоб заощадити витрати.

Другий поширений вид двофакторної аутентифікації - це використання токенів. Вони в порівнянні з SMS є справжнім другим фактором, однак їх ціна набагато вище. Вартість RSA токена становить кілька тисяч рублів, а зручність його використання залишає бажати кращого. У зв'язку з цим такий підхід набув поширення в основному у юридичних осіб, які готові терпіти незручності і витрачати гроші заради безпеки.

Разом з тим, використання OTP можна значно поліпшити, як з точки зору зручності, так і з точки зору зниження ціни, за рахунок аутентифікації на основі ризиків (Risk Based Authentication). RBA проводить аналіз поведінки користувача, його пристрої і оточення з метою виявлення нормальності і легітимності сесії. В результаті такого аналізу:

• легітимні користувачі обходять додаткові чинники аутентифікації, отримуючи доступ в онлайн-кабінет без додаткових кроків;
• користувачі, що викликають сумніви, проходять перевірку другим фактором;
• діяння, які є найбільш підозрілими, перевіряються більш ретельно, при невдалому проходженні перевірки користувачеві може бути відмовлено в доступі.

RBA ліквідує додаткові кроки аутентифікації для легітимних пользователей̆, дозволяючи їм увійти в систему дистанційного обслуговування без використання ОТР (другого фактора). Це означає, що вхід стає набагато зручніше - адже не доводиться робити додаткових кроків. Крім того, виходить значна економія коштів, адже не треба слати SMS кожен раз, цей крок стає необхідний тільки в 20-25% випадках. Крім того, поліпшується і безпеку, адже кожен вхід і сесія аналізуються - хто використовує ваші сервіси в мобільному і онлайн-каналах: легітімний̆ користувач або шахрай, реальний̆ людина або машина.

Таким чином, якщо онлайн сервіс використовує двухфакторную аутентифікацію, дуже рекомендується застосовувати підхід аутентифікації на основі ризиків. Це не тільки скоротить витрати, але і збільшить лояльність користувачів за рахунок зручності, що в свою чергу сприятиме зростанню бізнесу.

За матеріалами PLUSworld.ru