ضرورت اجرای فرایند احراز هویت مشتری در تلفنهای همراه
چرا فیسبوک ایمن تر از حساب بانکی است؟
در سالهای اخیر فیسبوک و گوگل هر دو سیستمهای 2 عاملی را اجرا میکنند. در ابن راستا فرایند احراز هویت مخصوصی در تلفنهای همراه مشتری پیاده می شود که روندهای امنیتی بهتری را ایجاد می کند بنابراین بانکها نیز باید از همین روند پیروی کنند.
به گزارش پایگاه خبری بانکداری الکترونیک به نقل از شاپرک در اوایل ماه جاری (می) دادستانان فدرال چند مرد را به جرم دزدی بزرگ از بانک محاکمه کردند؛ به گفته دادستانان دزدان اطلاعات دزدیدهشده حسابها را وارد کارتهای دارای نوار مغناطیسی وارد کردند و با استفاده از آن 45 میلیون دلار از دستگاههای خودپرداز سراسر جهان سرقت کردند.
این اتفاق سبب شد مؤسسات مالی مراحل امنیتی خود را دوباره بازبینی کنند و از سوی دیگر توجه کارشناسان و دستاندرکاران صنعت بانکداری به این نکته جلب شد که آمریکا به جای استفاده از روش امن تراشه و کد (EMV نیز نامیده میشود) که در دیگر نقاط دنیا استفاده میشود؛ هنوز هم روی کارتهای دارای نوار مغناطیسی تکیه میکند.
هرچند بانکها سعی دارند روشهای بانکداری خود را تغییر دهند؛ اما باید یک نقطه کور در مسیر امنیتی را نیز در نظر بگیرند؛ این حقیقت که دزدیدن اطلاعات بانکی بسیار راحت تر از دزدیدن اطلاعات فیسبوک یک مشتری است.
حمایت از خودمان در برابر خودمان
این حقیقتی بنیادین درباره امنیت شبکه ایست که هیچ سیستمی در صنایع مختلف کاملاً ایمن نیست. دلیل این امر یک نقطهضعف جهانی است: کاربر تا زمانی که مردم اصرار دارند ایمیلهای فیشینگ را باز کنند؛ کلمات رمز ضعیف انتخاب میکنند و دستگاههای کامپیوتر خود را در برابر ویروسها حمایت نمیکنند؛ هکرها راهی برای ورود مییابند.
بنابراین نوآوریهای جدید در بخش امنیت آنلاین روی راهحلهایی متمرکزشدهاند که مشتریان را در برابر خودشان حمایت کنند.
یکی از این راهحلها، شیوه احراز هویت 2 عاملی است که هدف آن حمایت از مشتری حتی در هنگامی است که اطلاعات ورود به سیستم دزدیدهشده است. این روش به طور کلی شامل فرستادن رمز دوم و موقت به موبایل فرد است؛ با این فرض که دزد کلمه رمز هرکسی که باشد، به تلفن همراه مشتری دسترسی ندارد.
در سالهای اخیر فیسبوک و گوگل هر دو سیستمهای 2 عاملی را اجرا میکنند. بانکها نیز باید از همین روند پیروی کنند.
موسسه جاولین استراتژیاند ریسرچ که در حوزه ارائه مشاوره برای خدمات مالی فعالیت میکند؛ تحقیقی را میان 25 موسسه مالی برتر آمریکایی انجام داده است. نتایج این تحقیق نشان میدهد فقط 8 موسسه به کاربر اجازه میدهند فرایند احراز هویت مخصوصی را در تلفنهای همراهشان اجرا کنند. این فهرست شامل مؤسسات بزرگی مانند بانک آمریکا، جی پی مورگان، پی ان سی و چیس است اما هنوز 17 بانک دیگر این فرایند را عملی نکردهاند مانند کاپیتال وان، اچ اس بی سی و تی دی بانک.
چستر وینسویکی محقق امنیتی در موسسه سوفوس دراینباره میگوید: هنگامی که ما روند امنیتی بهتری برای فیسبوک و جی میل فراهم میکنیم؛ پس دیگر زمان آن فرا رسیده که بانکها هم برای اجرای روندهای امنیتی بهتر پیشقدم شوند. مشتریان وقتی میشنوند دسترسی به اطلاعات حساب بانکی راحت تر از اطلاعات فیسبوک است؛ بسیار شگفتزده میشوند.
بانکهایی که احراز هویت 2 مرحلهای را به مشتریان ارائه نمیکنند؛ معمولاً سعی میکنند هویت مشتری با پاسخ دادن به سؤالات امنیتی احراز کنند که خود وی هنگام افتتاح حساب بانکی در اختیار بانک قرار داده است اما این سؤالات (از جمله نام مادر و نام حیوان مورد علاقه) از سوی کارشناسان مورد انتقاد قرار گرفتهاند زیرا در عصر مبادله اطلاعات در رسانههای اجتماعی چندان موثر نیستند.
شرلی اینسکو یکی از تحلیل گران صنعت بانکداری در گروه IT میگوید: هنگامی که کاربر سؤال امنیتی را در مؤسسات مالی ثبت میکند؛ نباید پاسخ آن را در رسانههای اجتماعی هم قرار دهد؛ بسیاری از بانکها دیگر از سؤالات امنیتی استفاده نمیکنند زیرا سارقان میتوانند به آسانی پاسخ آنها را بیابند.
ردیابهای حرکتی در کیف پول!
اگر خبر بد آن است که بسیاری از بانکها در زمینه جلوگیری از دسترسی به حساب بانکی، با زمانه خود پیش نمی روند؛ خبر خوش آن است که فرایندهای امنیتی ورود به سیستم تنها خطوط دفاع در برابر کلاهبرداری نیستند.
تری آستین، مدیر ارشد موسسه تحلیلی گاردین دراینباره میگوید: باید تصور کنید که سارقان در مرحله دسترسی به اطلاعات شما هستند؛ بنابراین به بنیان حمایتی نیاز دارید که با این واقعیت مقابله کند.
گاردین نیز همانند فرایندی که صادرکنندگان کارت اعتباری برای ردیابی کلاهبرداری از کارت به کار می برند؛ پروفایلی فراهم کرده است که در آن توضیح میدهد به طور معمول چگونه مشتریان از حسابهای آنلاین بانک خود استفاده میکنند. هنگامی که از حساب بانکی به شیوهای غیرمعمول استفاده شود؛ موسسه میتواند آن را ردیابی کند.
در اینجاست که زنگهای هشدار به صدا درمیآیند؛ این هشدارها برای فرایندهای مختلفی صادر میشود؛ از تبادلات عظیم تا ورود به بخشی از سایت بانکی میشوند که فرد هرگز به آنها وارد نشده بوده است.
حتی اگر الگوریتمها سارقان را از دزدیدن پول نقد مشتری منصرف نکنند؛ مشتریان هنوز هم میتوانند از خود دفاع کنند. طبق قوانین فدرال در اغلب پروندهها مشتریان مسئول تبادلات کلاهبردارانه در حسابهای بانکی خود نیستند.
با این وجود اگر فردی حساب مشتری را خالی کند؛ او باید یک هفته یا بیشتر منتظر بماند تا سرمایهاش مسترد شود. این امر یک اختلال بزرگ در زندگی مشتری محسوب میشود. از آنجا که مؤسسات مالی هزینه کلاهبرداری را تقبل میکنند؛ باید انگیزهای شفاف برای جلوگیری از سرقت داشته باشند.
بنابراین به سؤال اصلی برمیگردیم: اگر فیسبوک و جی میل میتوانند فرایند احراز هویت دومرحلهای را به کاربرانشان ارائه کنند؛ چرا برخی از بانکهای بزرگ که سرمایه زیادی در اختیاردارند از این روند پیروی نمیکنند؟
سهولت استفاده در برابر امنیت
وینسوکی معتقد است یکی از دلایل این امر آن است که بانکها نمیخواهند با اضافه کردن یک مانع ورودی سهولت استفاده از خدمات بانکداری آنلاین را به خطر بیندازند. هیچ بانکی نمیخواهد نخستین موسسهای باشد که ورود مشتریان به حسابهای بانکیشان را مشکل تر میکند.
حتی بانکهایی که فرایند احراز هویت 2 مرحلهای را ارائه میکنند؛ از آن به عنوان پیشفرض در خدمات خود استفاده مینمایند. بر اساس گزارش امنیتی موسسه گاردین حتی بانک آمریکا بهترین شیوه امنیتی را فراهم میکند پیش از آنکه این ویژگی را فعال کند؛ به مدت زمانی نیاز دارد.
بسیاری از کاربران از لحاظ امنیتی هوشمند هستند؛ افرادی که به مرحله امنیتی بالاتری نیاز دارند (افراد بیدقتی که کلمات رمز را به صورت تکراری استفاده میکنند و دستگاههای کامپیوتر خود را بدون ایمنی رها میکنند) با این روش حداقل افزوده را به کار می برند. اگر بانکها استفاده از فرایند دو مرحله را به انتخاب مشتری واگذار کنند؛ افرادی که احساس میکنند به این فرایند نیازی ندارند به گروهی تبدیل میشوند که از آن استفاده میکنند.