Одноразовые пароли, или OTP, в настоящее время устарели из-за резкого роста числа изощренных банковских махинаций, сообщил Khaleej Times эксперт по кибербезопасности из Дубая, комментируя новость о том, что банки ОАЭ постепенно прекратят отправлять одноразовые пароли (OTP) по SMS и электронной почте для цифровых транзакций, начиная с 25 июля.
Вместо OTP банки перейдут на аутентификацию через мобильные банковские приложения, используя функции подтверждения в приложении. Эксперт по кибербезопасности Раяд Камаль Аюб похвалил банки и регулирующие органы ОАЭ за “внедрение передовых технологий аутентификации для обеспечения безопасности транзакций, идентификации клиентов и обеспечения удобства взаимодействия с пользователями”.
“Центральный банк ОАЭ с 2024 года предпринимает решительные шаги, побуждаемый настойчивыми призывами лидеров отрасли и СМИ, таких как Khaleej Times, пересмотреть традиционные методы аутентификации, особенно OTP, которые оказались уязвимыми для современных методов взлома”, — добавил он.
Райад, который также является управляющим директором базирующейся в ОАЭ Rayad Group, также рассказал о новых технологиях аутентификации и о том, как каждый из них сталкивается с рисками мошенничества и переопределяет доверие клиентов к банковскому сектору ОАЭ.
1. Пароли доступа и аутентификация по FIDO2
“Эра легко скомпрометированных паролей подходит к концу”, – отметил Раяд. Парольные ключи, созданные на основе стандартов FIDO2 (Fast IDentity Online 2), позволяют осуществлять аутентификацию без использования пароля, используя криптографические ключи, хранящиеся непосредственно на устройстве пользователя. В сочетании с биометрическими датчиками, такими как face ID, touch ID или аналогичными устройствами Android, ключи доступа обеспечивают плавный вход в систему одним касанием.
Ключевые функции:
– Без пароля, использующий асимметричную криптографию для обеспечения безопасности
– Биометрическая интеграция (распознавание лиц, отпечатков пальцев) для легкого доступа
– Устойчивость к фишинговым атакам, замене SIM-карт и утечке учетных данных, которые часто используются мошенниками
Раяд сказал, что банки ОАЭ в пилотном режиме внедряют логины на основе паролей доступа для замены или дополнения OTP, что значительно снижает риск перехвата или дублирования. “Благодаря этому клиенты получают более плавный и быстрый доступ к услугам, в то время как учреждения отмечают снижение числа попыток захвата счетов.
2. Децентрализованная идентификация (DID)
Традиционные системы идентификации часто опираются на центральные базы данных, что делает их выгодной мишенью для киберпреступников. Децентрализованная идентификация (DID) возвращает контроль в руки пользователей с помощью криптографически проверяемых учетных данных, хранящихся на персональных устройствах или цифровых кошельках.
Ключевые функции:
– Цифровая идентификация, контролируемая пользователем, сводящая к минимуму зависимость от центральных органов власти.
– Безопасные процессы регистрации и KYC (знай своего клиента) без единого сбоя в работе с данными
– Поддерживается глобальными инициативами, такими как EU Digital Identity Wallet, которые влияют на регулирование в ОАЭ
Раяд отметил, что DID не только повышает конфиденциальность, но и повышает устойчивость к крупномасштабным утечкам данных. Несколько банков и финтех-стартапов за рубежом изучают платформы DID, позволяющие клиентам предоставлять только необходимые фрагменты своей информации для транзакций или регистрации.
3. Поведенческая биометрия
Это работает в отличие от традиционной биометрии, использующей распознавание отпечатков пальцев и лиц. Поведенческая биометрия позволяет идентифицировать пользователей на основе того, как они взаимодействуют со своими устройствами — например, по ритму набора текста, схемам смахивания, движениям мыши и управлению устройством. Этот непрерывный, невидимый уровень аутентификации работает в фоновом режиме, постоянно отслеживая необычное поведение.
Ключевые функции:
– Непрерывная аутентификация — нет необходимости в повторных входах в систему
– Обнаруживает незначительные отклонения от обычного поведения пользователя, мгновенно выявляя потенциальное мошенничество
– Ненавязчивый, сохраняющий удобство работы с пользователем
Некоторые банки интегрируют поведенческие биометрические данные в свои мобильные приложения и порталы онлайн-банкинга. Технология может определять, когда к учетной записи обращается кто-то, кроме законного пользователя, даже если указаны правильные учетные данные, что позволяет своевременно предупреждать о мошенничестве, пояснил Раяд.
4. Постквантовая криптография (PQC)
Стремительный прогресс в области квантовых вычислений угрожает сделать существующие криптографические алгоритмы устаревшими. PQC активно защищает банки от этого надвигающегося риска, используя новые алгоритмы, разработанные для противодействия квантовым атакам.
Ключевые функции:
– Использует квантово-стойкие алгоритмы для защиты данных и аутентификации
– Рекомендовано ведущими органами власти, такими как NIST (Национальный институт стандартов и технологий).
– Обеспечивает будущую проверку банковских систем по мере развития квантовых возможностей
Перспективные банки ОАЭ начинают тестировать решения PQC, особенно для обеспечения безопасности транзакций с высокой стоимостью, внутренних коммуникаций и конфиденциальных данных клиентов. Раннее внедрение обеспечивает готовность к квантовой эре и демонстрирует лидерство в отрасли цифровой безопасности.
5. Аппаратные средства аутентификации
Существуют физические ключи безопасности, такие как YubiKeys, которые обеспечивают дополнительный уровень защиты, требуя от пользователей наличия реального устройства для аутентификации. В отличие от SMS-кодов или OTP-сервисов на основе приложений, аппаратные средства аутентификации защищены от вредоносных программ, фишинга и угроз удаленного доступа.
Ключевые функции:
– Многофакторная аутентификация на основе владения (MFA)
– Отсутствие необходимости в мобильных сетях или подключении к Интернету для проверки подлинности
– Высокая степень защиты от устройств, зараженных вредоносными программами, фишинга и несанкционированного удаленного доступа
По словам Райада, состоятельные частные лица и корпоративные клиенты внедряют аппаратные средства аутентификации для защиты доступа к конфиденциальным учетным записям. Некоторые банки в настоящее время предлагают поддержку ключей безопасности для счетов руководителей и VIP-персон, учитывая растущую сложность целенаправленных атак.
6. Обнаружение глубоких подделок с помощью искусственного интеллекта
По мере того как набирает популярность аутентификация по лицу и голосу, растут и угрозы, связанные с глубокими подделками — искусственно созданными изображениями, видео или аудио, созданными для того, чтобы выдавать себя за законных пользователей. Управляемые искусственным интеллектом инструменты обнаружения подделок анализируют мельчайшие характеристики, такие как живучесть, температура и микровыражения, чтобы отличить настоящие данные от поддельных.
Ключевые функции:
– Определение жизнеспособности с помощью искусственного интеллекта для подтверждения присутствия реального человека
– Инфракрасное сканирование и анализ микроэкспрессии для повышения точности
– Защита от спуфинговых атак, нацеленных на биометрические данные лица и голоса
банки уже внедряют тесты на работоспособность и обнаружение подделок в своих мобильных приложениях и банкоматах. Эти меры обеспечивают устойчивость инновационных методов аутентификации к новым угрозам и заверяют клиентов в безопасности биометрических данных для входа в систему.
7. Облачные платформы идентификации
Управление инфраструктурой аутентификации собственными силами является дорогостоящим и сложным процессом. Облачные платформы идентификации, которые часто поставляются в виде Identity-a—a-Service (IDaaS), позволяют банкам внедрять передовые решения для аутентификации, которые масштабируются в соответствии со спросом и при этом соответствуют меняющимся нормативным актам.
Ключевые функции:
– Централизованное управление идентификацией для всех цифровых каналов
– Масштабируемость и экономичность по сравнению с традиционными локальными решениями
Раяд отметил, что некоторые банки ОАЭ переходят на облачные платформы идентификации, чтобы упростить регистрацию, аутентификацию и авторизацию с помощью мобильных устройств, Интернета и отделений. Это не только повышает безопасность, но и обеспечивает унифицированное обслуживание клиентов без каких-либо проблем.
Будущее более безопасного цифрового банкинга
Райад повторил, что по мере развития мошенничества должны развиваться и технологии, защищающие финансовую экосистему. Выходя за рамки уязвимых устаревших систем, таких как OTP, и используя такие инструменты, как пароли доступа, децентрализованные идентификационные данные, поведенческая биометрия, постквантовая криптография, аппаратные средства аутентификации, обнаружение глубоких подделок на базе искусственного интеллекта и облачные платформы идентификации, банки ОАЭ создают надежную защиту от мошенничества, обеспечивая при этом бесперебойный и удобный для пользователя цифровой опыт.
“Стремление ОАЭ к инновациям не только защищает клиентов, но и укрепляет репутацию страны как мирового лидера в области цифровых финансов. Быстрые темпы внедрения сегодня указывают на будущее, в котором безопасность, удобство и конфиденциальность будут сосуществовать, обеспечивая банковское обслуживание, которое будет столь же безопасным, сколь и простым”, — заключил он.