نقاط ضعف احراز هویت از طریق پیام کوتاه چیست؟

به گزارش گروه تحقیق و ترجمه عصربانک؛ امروزه با توجه به فشارهای رگولاتوری در دنیا به منظور افزایش امنیت تراکنش‌ها، بانک‌ها باید به مشتریانشان سطوح بالاتری از احراز هویت مانند احراز هویت دو عاملی (۲FA) و چند عاملی (MFA) را ارائه دهند. از آنجایی که اجرا و نصب نرم‌افزار لازم برای احراز هویت از طریق پیام کوتاه  (SMS) نسبتا آسان است، تایید هویت متنی از طریق پیام کوتاه به روشی جهانی تبدیل شده و در نتیجه بانک‌ها بیش‌تر از این روش برای احراز هویت مشتریانشان استفاده می‌کنند. با این حال، واقعیت این است که پیام کوتاه نباید گزینه‌ پیش‌ فرض بانک‌ها باشد. به دلایل ذیل:

هزینه

پیام کوتاه یکی از گران‌ترین روش‌ها برای احراز هویت توسط بانک‌ها است. این روش احراز هویت نه تنها موجب صرف میلیون‌ها دلار توسط  بانک‌ها به ارائه‌دهندگان خدمات پیام کوتاه و پلتفرم‌های API می‌شود تا در بستری امن به مشتریان پیام متنی احراز هویت را ارسال کنند، بلکه زمانی که احراز هویت از طریق SMS به هر دلیلی با مشکل مواجه شود، مشتریان اغلب با بخش خدمات مشتریان (مرکز تماس) تماس می‌گیرند که این خود منجر به افزایش هزینه‌ برای بانک می‌شود. به علاوه، پذیرندگان و صادرکنندگان کارت بانک زمانی که مشتریان نتوانند مراحل لازم برای احراز هویت را تکمیل کنند، با هزینه فرصت هم مواجه می‌شوند.

امنیت

از آن‌جایی که کلاهبرداران می‌دانند، بانک‌ها برای تراکنش‌های با احراز هویت دو عاملی (۲FA) بیش‌تر بر پیام کوتاه تکیه می‌کنند، می‌توانند بر نقاط ضعف این روش تمرکز و از آن استفاده کنند. برای این کار کلاهبرداری سیم کارت، یکی از رایج‌ترین روش‌هایی است که توسط کلاهبرداران مورد استفاده قرار می‌گیرد. به نحوی که مجرمان سایبری قبل از اینکه ارائه دهنده سرویس با قربانی تماس بگیرد تا بررسی کند که آیا تلفن او گم شده یا دزدیده شده است، اطلاعات شخصی قربانی را جمع‌آوری می‌کنند‌. بنابراین کلاهبردار از این طریق قادر به دستیابی به همه‌ رمز عبورهای یک بار مصرف و تایید کدهای ارسال شده به دستگاه قربانی از طریق پیام کوتاه خواهد بود.

اما فقط کلاهبرداران سیم‌کارت نیستند که از رمز عبورهای یک بار مصرف (OTP) می‌توانند سوءاستفاده کنند. طرف‌های دیگری هم در تحویل OTPها دخالت دارند. یعنی احتمال حمله‌ در هر کدام از سطوح برای رهگیری OTPها وجود دارد.  هم‌چنین کلاهبرداران از طریق بدافزارهایی که روی گوشی کاربر وجود دارد و به صورت اتوماتیک پیام‌هایی را به کاربران دیگر ارسال می‌کند، می‌توانند به رمزهای یک‌بار مصرف دسترسی پیدا  کنند. به همین دلیل، بانک‌ها باید دید روشنی از همه‌ زیرمجموعه‌های پردازنده‌ی داده داشته باشند و اطمینان حاصل کنند که هرکدام از آن‌ها کنترل‌های امنیتی مناسبی را انجام داده‌اند (برای مثال، احراز هویت چندعاملی (MFA) برای لاگ‌ها و دشبوردها). به علاوه،برای به حداقل رساندن اثرات نقض اطلاعات، باید تمام شماره‌های تلفن دیگر بطور خودکار در سامانه رد شوند.

تجربه کاربری

احراز هویت از طریق پیام کوتاه در نهایت چندان مشتری پسند نیست زیرا زمانبر و مشکل است. برخلاف تایید هویت بیومتریک که به صورت فوری است، برای احراز هویت از طریق SMS باید کاربر۳۰ ثانیه جهت تحویل متن پیام کوتاه و انجام تراکنش منتظر بماند. به علاوه، کاربری که در مکانی دور یا دارای خدمات اپراتوری سطح پایین قرار دارد، ممکن است در دریافت پیام کوتاه با مشکل مواجه شود. چون احراز هویت از طریق پیام کوتاه برای آن‌ها غیرقابل دسترس است. در نهایت کیفیت تجربه‌ مشتری می‌تواند بسته به ترجیح یا پیش‌فرض دستگاه شما کاهش یابد. برای مثال، نسل‌های جدید اپل واچ بدون سیم‌کارت به دلیل این که پیام کوتاه را از حساب آی کلاد یا آی مسیج دریافت نمی‌کنند، قادر به دریافت چنین پیام‌هایی نیستند. در این صورت، مشتریان برای احراز هویتشان مجبورند که تلفن همراهشان را در دست داشته باشند.

بنابراین راه حل چیست؟

بانک‌ها باید برای کاهش هزینه‌ بالای پیام کوتاه و فراهم کردن تجربه‌ بهتر مشتریان از احراز هویت هوشمند استفاده کنند که به آن‌ها امکان می‌دهد از طیف وسیعی از روش‌های احراز هویت امن‌تر، پویاتر و شخصی‌تر برای مشتریان استفاده کنند. روش‌های غیرفعالی از احراز هویت وجود دارد که از موقعیت مکانی، داده‌های بیومتریک و رفتاری استفاده می‌کنند تا مطمئن شوند که مشتریان واقعا همانی که می‌گویند هستند.

ترجمه از:atmmarketplace