احراز هویت مبتنی بر ریسک در بانکداری دیجیتال

, ,
احراز هویت مبتنی بر ریسک در بانکداری دیجیتال

احراز هویت مبتنی بر ریسک در بانکداری دیجیتال به یکی از الزامات ارائه خدمات بدون‌درز (Seamless) تبدیل شده است. در حال حاضر، شناسایی و احراز هویت راه دور مشتری به روند مهمی در بانکداری تبدیل شده است. خدمات مدیریت ریسک باید با تأیید سند و تشخیص چهره ترکیب شوند تا روند دیجیتال شروع همکاری با مشتری جدید را بهبود بخشد.

با بهره‌گیری از این رویکرد، مشتری جدید پس از ثبت نام می‌تواند به راحتی از طریق اینترنت به حساب‌های خود دسترسی پیدا کرده و به سرعت و با اطمینان بالا تراکنش‌های مد نظر خود را انجام دهد. امروزه داشتن یک راه‌حل خوب برای احراز هویت چند عاملی بسیار حیاتی است. مشتریان در عصر ارتباطات انتظار دارند که فاکتور دوم هنگام دسترسی به حساب بانکی آنلاین آن‌ها اضافه شود که می‌تواند اثر انگشت یا احراز هویت تشخیص چهره در یک برنامه تلفن همراه، رمز OTP یا راه‌حل دیگری باشد.

مدیریت ریسک در بهبود اعتماد مشتریان به بانک‌ها

مشتریان برای ایمن نگه داشتن حساب خود به موسسه مالی خود اعتماد می کنند، اما در عین حال به دنبال تجربه‌ای بدون‌اصطکاک (Frictionless) هستند. مقررات سختگیرانه جدید مانند PSD2 در اتحادیه اروپا، فشار زیادی به موسسات مالی برای معرفی احراز هویت قوی مشتری (SCA) وارد می‌کنند، در عین حال، این قوانین بر تجربه کاربر تمرکز دارند و معافیت‌هایی را برای احراز هویت در سطوح پایین خطر مجاز می‌دانند. این همان جایی است که مدیریت ریسک برای افزایش دسترسی کاربر وارد عمل می‌شود.

با افزودن خدمات مدیریت ریسک هوشمند به مرحله دسترسی، سطح ریسک هر تراکنش مشتری تجزیه‌و‌تحلیل می‌شود و توصیه‌ای در مورد مناسب‌ترین روش احراز هویت ارائه می‌شود. این روش می‌تواند به کاهش سوء استفاده از حساب کاربری (Account Takeover-ATO) کمک کند.

مؤسسات مالی با احراز هویت مبتنی بر ریسک (RBA) می‌توانند سیاست‌های سازگار مستمر را بر اساس تقسیم‌بندی مشتریان، تنظیمات مشتری و موارد استفاده تعریف کنند. تکنیک‌های احراز هویت مبتنی بر ریسک در پس زمینه و بدون ایجاد مشکل برای مشتری اجرا می‌شوند تا بهترین تجربه کاربر نهایی را ارائه دهند.

تکنیک‌های مدیریت ریسک احراز هویت در بانکداری دیجیتال

 

تکنیک‌های مدیریت ریسک احراز هویت در بانکداری دیجیتال

تکنیک‌های متفاوتی برای مدیریت ریسک و احراز هویت مبتنی بر ریسک در بانکداری دیجیتال استفاده می‌شوند که می توان از آن‌ها برای شناسایی تقلب در هنگام تلاش کاربر برای دسترسی به حساب بانکی و استفاده از آن بهره گرفت.

هوشمندی IP

پارامترهایی مانند مکان جغرافیایی، قابلیت اطمینان دستگاه، آدرس‌های IP، استفاده از VPN یا استفاده از مرورگر تور (TOR) برخی از ویژگی های قابل تجزیه‌وتحلیل در این حوزه هستند. به عنوان مثال، اگر کاربر از کشوری غیرمعمول متصل شود یا فاصله غیرطبیعی در بین مکان جغرافیایی انجام دو تراکنش شناسایی شود، امتیاز ریسک کاربر افزایش می‌یابد.

پروفایل دستگاه

اطلاعات و سیگنال‌های زیادی وجود دارد که می‌توان برای کنترل سلامت دستگاه مورد استفاده برای انجام تراکنش از رایانه شخصی و دستگاه‌های موبایل جمع‌آوری کرد. اگر کاربر دستگاه جدیدی داشته باشد اطلاعات تولید شده توسط دستگاه به شما اطلاع می‌دهد که ریسک استفاده از آن بیشتر است. همچنین اگر چندین اتصال را از یک دستگاه برقرار شود این می‌تواند به معنای در معرض ریسک قرار گرفتن آن دستگاه باشد.

پروفایل کاربر

دانستن اینکه معمولاً مشتری چگونه با کانال‌های دیجیتال ارتباط برقرار می‌کند به مؤسسات مالی اجازه می‌دهد حتی با پیچیده‌ترین حملات مهندسی اجتماعی نیز مقابله کنند. سنجش بیومتریک رفتاری این امکان را فراهم می‌کند که بانک با تجزیه‌وتحلیل بلادرنگ و نامحسوس نحوه تایپ روی صفحه کلید لپ‌تاپ یا نحوه استفاده از دستگاه تلفن همراه توسط شخص انجام‌دهنده تراکنش، صحت ادعای هویتی کاربر را ارزیابی نماید.

همچنین بانک با جمع‌آوری اطلاعات مربوط به رفتار تراکنشی کاربر می‌تواند به الگوی صرف هزینه توسط کاربر دست یابد که در تشخیص تراکنش‌های غیرمعمول انجام شده توسط یک کلاهبردار به کار گرفته می‌شود.

تشخیص تهدیدات سایبری

این ماژول برای ردیابی تروجان‌ها، تروجان با دسترسی از راه دور (RAT)، هم‌پوشانی و دسترسی ربات‌ها مورد استفاده قرار می‌گیرد. اگر دستگاه مورد استفاده به بدافزار آلوده باشد این یک نشانه واضح است که مقدار ریسک بسیار بالا است.

هوش جمعی (کنسرسیومی)

کلاه‌برداران حملات خود را برای دسترسی به بانک‌های مختلف تکرار می‌کنند. اعتماد به دانش کسب شده توسط سایر مؤسسات مالی می‌تواند قدرت تشخیص تقلب هر مؤسسه را به شکل قابل ملاحظه‌ای افزایش دهد. اگر کاربر از دستگاهی استفاده می‌کند که قبلاً در حملات به بانک یا بازرگان دیگر مشاهده شده است باید پرچم هشداردهنده برافراشته شود.

بیشتر بخوانید: زیست‌بوم هویت دیجیتال در بانکداری

احراز هویت مبتنی بر ریسک در بانکداری

جمع‌آوری تمام این اطلاعات از چندین منبع مختلف و ادغام آن‌ها در روند احراز هویت می‌تواند دشوار باشد. برای این منظور، یک مدیر سیاست‌گذاری مورد نیاز است که بتواند تمام داده‌های دریافتی را با یک رویکرد مدیریت ریسک سراسری ترکیب کرده و نمره ریسک کاربر را محاسبه نماید و برای اقدام بعدی تصمیم بگیرد. اگر ریسک کم است تراکنش مجاز است در صورت شناسایی ریسک باید مشتری با یک لایه تأیید اعتبار اضافی به چالش کشیده شود یا اگر ریسک خیلی زیاد تشخیص داده شود حساب کاربری مشتری مسدود می‌شود.

به این ترتیب می‌توان جریان احراز هویت را به روشی انعطاف‌پذیر و پویا تنظیم نمود و پیش‌بینی و برنامه‌ریزی حمله را برای کلاه‌برداران دشوارتر کرد. چالش ارائه شده برای تأیید هویت مشتری می‌تواند بسته به گزینه‌های تأیید اعتبار چند عاملی مورد استفاده توسط موسسه مالی مانند FaceID یا اثر انگشت در تلفن همراه یا یک دستگاه سخت‌افزاری اختصاصی برای تولید گذرواژه های یکبار مصرف (OTP) متفاوت باشد.

احراز هویت قوی و راحتی کاربر

جلوگیری از کلاه‌برداری بانک‌ها و مؤسسات مالی همیشه در اولویت قرار دارد، اما اولویت آن بیشتر از راحتی ارائه شده به مشتری از طریق به کارگیری مدیریت ریسک نیست. هدف این است که بین کاربرانی که خطر ایجاد می‌کنند و اکثریت قریب به اتفاق بدون خطر تفاوت ایجاد شود. مشتریانی که خطری را ایجاد نمی‌کنند، باید هنگام دسترسی به حساب خود، تجربه بدون اصطکاکی داشته باشند و با مراحل احراز هویت غیرمجاز و ضروری اذیت نشوند.

احراز هویت قوی و راحتی کاربر

ما با تکیه بر تجربیات خود تأکید می‌کنیم که مؤسسات مالی باید نگاهی جامع داشته باشند و از راه‌حل مدیریت ریسک هم برای ثبت‌نام مشتریان جدید و هم برای محافظت از آن‌ها در هنگام دسترسی و استفاده آنلاین از خدمات استفاده کنند.

نویسنده: تورج اکبری

 

[1] https://www.thalesgroup.com/