Artigo sobre Fraude

Navegando pela Obsolescência: Os Principais Pontos Fracos da Autenticação Legada nos Negócios

Diante de ataques cada vez mais sofisticados por parte de fraudadores, a autenticação baseada em conhecimento legado ou autenticação de dois fatores é um passivo para sua empresa – não só é fácil de hackear, mas também cria atrito e frustração para seus usuários legítimos. Na melhor das hipóteses, isso significa perda de receita, na pior, perda de clientes.

Autenticação baseada em conhecimento

Como o nome sugere, a autenticação baseada em conhecimento utiliza coisas que apenas a pessoa autorizada relevante deveria saber para controlar o acesso a uma conta ou serviço (senhas são tecnicamente uma forma de KBA).

KBA estática

Isso envolve um conjunto previamente acordado de segredos compartilhados, geralmente na forma de perguntas e respostas, como “qual era o nome do seu primeiro animal de estimação”.

KBA dinâmica

Isso é baseado em perguntas de uma base mais ampla de informações pessoais ou privilegiadas e não requer que o indivíduo tenha fornecido respostas anteriormente. As perguntas podem ser criadas a partir de uma gama de dados disponíveis publicamente, como registros de crédito e informações pessoais disponíveis online, portanto, não precisam ser baseadas em um relacionamento existente com o cliente.

Infelizmente, a autenticação baseada em conhecimento é fatalmente falha, sendo tanto fácil de superar para fraudadores quanto uma causa de atrito para usuários legítimos. De fato, a Forbes anunciou a morte da autenticação baseada em conhecimento já em 2018, apontando que um estudo do Google descobriu que menos da metade dos usuários poderia lembrar o que haviam colocado como seu alimento favorito um ano antes. Enquanto isso, hackers poderiam adivinhar a resposta correta para a mesma pergunta quase 20% das vezes (pizza, alguém?)

Embora o KBA dinâmico possa ser ligeiramente mais seguro do que o KBA estático, sua dependência de informações que fraudadores podem acessar com relativa facilidade ainda o torna altamente vulnerável. Além disso, a natureza mais ampla das perguntas potenciais cria ainda mais atrito e frustração para os usuários.

Autenticação de Dois Fatores

A autenticação em duas etapas é um método eletrônico de autenticação que exige que um usuário apresente dois diferentes tipos de evidência antes de ser autorizado o acesso. As evidências solicitadas devem ser de dois tipos diferentes de um possível três: conhecimento (algo que apenas o usuário sabe), posse (algo que apenas o usuário possui) e inerência (algo que apenas o usuário é). Às vezes é usado um autenticador de terceiros (TPA), que é um aplicativo que gera aleatoriamente um código único para usar como a segunda peça de informação. Outros sistemas enviam um código via mensagem de texto SMS.

A autenticação de dois fatores visa ser mais segura do que a autenticação baseada em conhecimento, uma vez que impede que um usuário não autorizado simplesmente roube ou adivinhe uma senha ou uma peça de informação pessoal. Infelizmente, também é altamente vulnerável a atores mal-intencionados

Isso se deve a algo que chamamos de experiência do usuário colapsada. A autenticação de dois fatores é projetada para criar uma separação entre a atividade, como comprar um item em uma loja online ou acessar sua conta bancária, e o fator secundário utilizado para autenticação. Mas agora que fazemos tantas dessas coisas em nossos celulares, o fator secundário é frequentemente fornecido a partir do mesmo dispositivo que estamos usando para a atividade primária. Como resultado, se o dispositivo foi hackeado ou comprometido, um fraudador tem controle sobre ambos os elementos.

Uma solução mais sofisticada

Se sua empresa ainda está usando autenticação legada, suas medidas de segurança provavelmente são menos sofisticadas do que os métodos utilizados por fraudes para tentar acessar as contas de seus clientes. Como empresa, você deve presumir que os maus atores conhecem os limites de sua abordagem à segurança e trabalham com isso como sua linha de base.

Uma estratégia eficaz de prevenção de fraudes deve sobrepor várias soluções e ser construída em torno de uma abordagem em constante evolução. Por exemplo, a autenticação biométrica significa que não importa se um fraudador consegue interceptar uma senha de uso único fornecida a um cliente – eles não podem acessar o rosto da pessoa e apresentá-lo ao vivo na câmera como parte de uma sessão de verificação.

Outros recursos, como detecção de vivacidade e feedback do usuário em tempo real, podem promover maior segurança sem retardar o processo e causar fricção na experiência do usuário. Enquanto isso, a aplicação de aprendizado de máquina aos dados coletados em sessões de autenticação pode constantemente ajustar sua abordagem. Juntas, essas soluções podem minimizar o ROI dos fraudadores e levá-los a buscar presas mais fáceis – potencialmente seus concorrentes que ainda usam autenticação legada!

Centro de educação contra fraudes

Para saber mais sobre fraudes online e como a Veriff pode trabalhar com você para minimizar os riscos ao seu negócio das atividades de atores mal-intencionados, visite nosso Centro de Educação em Fraudes.

FEATURED

Get the Biometric Intelligence Report

Be among the first to get your Biometric Intelligence Report, featuring a detailed overview of biometrics and their business benefits in a dangerous online world.

Subscribe for insights

Start building with Veriff for free

Your journey toward faster, more accurate identity verification starts here.