В качестве методов аутентификации могут применяться любые из популярных технологий. Каждый метод имеет не только свои технологические преимущества и недостатки, но и определенную бизнес-направленность. При выборе метода аутентификации должны быть учтены следующие ключевые факторы:

• каналы ДБО (интернет-банк, клиент-банк, мобильные приложения и др.);

• корпоративный или розничный бизнес;

• виды транзакций, требующие аутентификации (сессионные и платежные).

К сожалению, банкам не всегда удается обеспечить требуемый уровень ИБ, сохранив при этом лояльность клиента. Например, в одном из банков для платежных транзакций корпоративных клиентов был добавлен дополнительный фактор аутентификации в виде OTP по SMS. В результате процент неудачной аутентификации превысил 75% (клиенты не подтверждали платеж, и осуществлялось блокирование транзакции). При этом для розничных клиентов подтверждение подлинности транзакции таким методом является вполне применимым.

В качестве другого примера некорректного применения механизмов аутентификации приведу случай из жизни при снятии наличных в АТМ с дебетовой карты. При снятии крупной суммы в АТМ с ограниченным лимитом на снятие пришлось снимать сумму лимита несколько раз. После третьего снятия поступил звонок от контакт-центра с неизвестного номера. Он попросил назвать ФИО, секретное слово и т.д. Сделать это было невозможно, так как у АТМ была очередь. Сотруднику было сообщено о причинах невозможности произнесения этих сведений и озвучена просьба перезвонить с официального номера. В ответ карта была заблокирована.

Хотя последний пример в большей степени говорит об ошибке в бизнес-процессе, в обоих случаях применяемые методы аутентификации были избыточны либо некорректно выбраны. Эффективным решением описанных проблем является построение доверенной среды пользователя и создание единого динамического механизма принятия решений о необходимости и способе аутентификации клиентов.

Чтобы обеспечить наивысший уровень надежности и одновременно удобства аутентификации для клиента применяются фрод-системы с функциональностью адаптивной аутентификации, которая в зависимости от уровня риска транзакции позволяет осуществить дополнительную проверку подлинности транзакции и клиента. Адаптивная аутентификация включает в себя широкий спектр проверки подлинности:

• анализ профиля устройства (ноутбук, ПК, приложение). Определяется использовалось ли устройство ранее — на основе анализа изменений различных параметров (cookie-файлы, объекты flash-cookies и др);

• поведенческий анализ, включая IP-адрес, время суток, возраст пользователя в ДБО, совершение платежа на нового контрагента, сведения о времени действий, канале транзакции и т.д.

Если по результатам анализа выявлен высокий уровень риска, осуществляется дополнительная аутентификация. Запрос передается на обработку в контакт-центр, SMS-шлюз или офицерам ИБ для расследования в зависимости от настройки правил. Например, могут быть использованы дополнительные секретные вопросы для сессионных и платежных транзакций, которые могут быть эффективными для розничных клиентов.

Использование адаптивной аутентификации позволяет сохранить лояльность клиентов и обеспечить требуемый уровень ИБ, сократив необходимость применения дополнительной аутентификации на 80%.

Реклама