نقاط ضعف احراز هویت از طریق پیام کوتاه چیست؟
به گزارش گروه تحقیق و ترجمه عصربانک؛ امروزه با توجه به فشارهای رگولاتوری در دنیا به منظور افزایش امنیت تراکنشها، بانکها باید به مشتریانشان سطوح بالاتری از احراز هویت مانند احراز هویت دو عاملی (2FA) و چند عاملی (MFA) را ارائه دهند. از آنجایی که اجرا و نصب نرمافزار لازم برای احراز هویت از طریق پیام کوتاه (SMS) نسبتا آسان است، تایید هویت متنی از طریق پیام کوتاه به روشی جهانی تبدیل شده و در نتیجه بانکها بیشتر از این روش برای احراز هویت مشتریانشان استفاده میکنند. با این حال، واقعیت این است که پیام کوتاه نباید گزینه پیش فرض بانکها باشد. به دلایل ذیل:
هزینه
پیام کوتاه یکی از گرانترین روشها برای احراز هویت توسط بانکها است. این روش احراز هویت نه تنها موجب صرف میلیونها دلار توسط بانکها به ارائهدهندگان خدمات پیام کوتاه و پلتفرمهای API میشود تا در بستری امن به مشتریان پیام متنی احراز هویت را ارسال کنند، بلکه زمانی که احراز هویت از طریق SMS به هر دلیلی با مشکل مواجه شود، مشتریان اغلب با بخش خدمات مشتریان (مرکز تماس) تماس میگیرند که این خود منجر به افزایش هزینه برای بانک میشود. به علاوه، پذیرندگان و صادرکنندگان کارت بانک زمانی که مشتریان نتوانند مراحل لازم برای احراز هویت را تکمیل کنند، با هزینه فرصت هم مواجه میشوند.
امنیت
از آنجایی که کلاهبرداران میدانند، بانکها برای تراکنشهای با احراز هویت دو عاملی (2FA) بیشتر بر پیام کوتاه تکیه میکنند، میتوانند بر نقاط ضعف این روش تمرکز و از آن استفاده کنند. برای این کار کلاهبرداری سیم کارت، یکی از رایجترین روشهایی است که توسط کلاهبرداران مورد استفاده قرار میگیرد. به نحوی که مجرمان سایبری قبل از اینکه ارائه دهنده سرویس با قربانی تماس بگیرد تا بررسی کند که آیا تلفن او گم شده یا دزدیده شده است، اطلاعات شخصی قربانی را جمعآوری میکنند. بنابراین کلاهبردار از این طریق قادر به دستیابی به همه رمز عبورهای یک بار مصرف و تایید کدهای ارسال شده به دستگاه قربانی از طریق پیام کوتاه خواهد بود.
اما فقط کلاهبرداران سیمکارت نیستند که از رمز عبورهای یک بار مصرف (OTP) میتوانند سوءاستفاده کنند. طرفهای دیگری هم در تحویل OTPها دخالت دارند. یعنی احتمال حمله در هر کدام از سطوح برای رهگیری OTPها وجود دارد. همچنین کلاهبرداران از طریق بدافزارهایی که روی گوشی کاربر وجود دارد و به صورت اتوماتیک پیامهایی را به کاربران دیگر ارسال میکند، میتوانند به رمزهای یکبار مصرف دسترسی پیدا کنند. به همین دلیل، بانکها باید دید روشنی از همه زیرمجموعههای پردازندهی داده داشته باشند و اطمینان حاصل کنند که هرکدام از آنها کنترلهای امنیتی مناسبی را انجام دادهاند (برای مثال، احراز هویت چندعاملی (MFA) برای لاگها و دشبوردها). به علاوه،برای به حداقل رساندن اثرات نقض اطلاعات، باید تمام شمارههای تلفن دیگر بطور خودکار در سامانه رد شوند.
تجربه کاربری
احراز هویت از طریق پیام کوتاه در نهایت چندان مشتری پسند نیست زیرا زمانبر و مشکل است. برخلاف تایید هویت بیومتریک که به صورت فوری است، برای احراز هویت از طریق SMS باید کاربر30 ثانیه جهت تحویل متن پیام کوتاه و انجام تراکنش منتظر بماند. به علاوه، کاربری که در مکانی دور یا دارای خدمات اپراتوری سطح پایین قرار دارد، ممکن است در دریافت پیام کوتاه با مشکل مواجه شود. چون احراز هویت از طریق پیام کوتاه برای آنها غیرقابل دسترس است. در نهایت کیفیت تجربه مشتری میتواند بسته به ترجیح یا پیشفرض دستگاه شما کاهش یابد. برای مثال، نسلهای جدید اپل واچ بدون سیمکارت به دلیل این که پیام کوتاه را از حساب آی کلاد یا آی مسیج دریافت نمیکنند، قادر به دریافت چنین پیامهایی نیستند. در این صورت، مشتریان برای احراز هویتشان مجبورند که تلفن همراهشان را در دست داشته باشند.
بنابراین راه حل چیست؟
بانکها باید برای کاهش هزینه بالای پیام کوتاه و فراهم کردن تجربه بهتر مشتریان از احراز هویت هوشمند استفاده کنند که به آنها امکان میدهد از طیف وسیعی از روشهای احراز هویت امنتر، پویاتر و شخصیتر برای مشتریان استفاده کنند. روشهای غیرفعالی از احراز هویت وجود دارد که از موقعیت مکانی، دادههای بیومتریک و رفتاری استفاده میکنند تا مطمئن شوند که مشتریان واقعا همانی که میگویند هستند.
ترجمه از:atmmarketplace