Проверка подлинности Reliance

Аутентификация Reliance является частью процесса атрибуции идентичности на основе доверия, в котором вторая сущность полагается на процессы аутентификации , внедренные первой сущностью. Вторая сущность создает дополнительный элемент, который является уникальным и специфичным для ее цели, который может быть извлечен или доступен только с помощью процессов аутентификации первой сущности, которая была впервые встречена.

Аутентификация Reliance может быть достигнута путем передачи одного или нескольких токенов со случайными характеристиками в защищенную зону, контролируемую первым субъектом, где такая защищенная зона доступна только лицу, уполномоченному использовать учетную запись. Защищенная зона может быть порталом онлайн-банкинга, системой телефонного банкинга или приложением мобильного банкинга.

Токен часто имеет форму единственного или множественного числа дебета или кредита на финансовом счете, где числовые значения дебета или кредита образуют токен, числовое значение которого должно быть подтверждено владельцем счета.

Токен извлекается держателем карты, получающим доступ к защищенной области из защищенной области первой сущности, которая защищена и доступна только при условии соответствия средствам аутентификации первой сущности. В случае финансовых услуг аутентификация для доступа к защищенной области обычно включает многофакторную аутентификацию , а в SEPA, скорее всего, будет включать строгую аутентификацию .

Передача и необходимость извлечения токена добавляют дополнительный фактор сложности и реагирования к общему процессу аутентификации, если рассматривать его с точки зрения второй стороны, которая генерирует и передает токен.

Токен может быть сгенерирован второй стороной динамически и, таким образом, может действовать как одноразовый пароль .

Метод аутентификации доверия имеет особое применение в отношении таких финансовых инструментов, как кредитные карты , электронные мандаты и транзакции прямого дебетования , посредством которых лицо может инициировать транзакцию с финансовым инструментом, однако принадлежность финансового инструмента этому лицу не проверяется до тех пор, пока это лицо не подтвердит стоимость токена.

Метод доверия часто включает в себя средства реагирования вне диапазона после извлечения токенов из защищенной зоны.

Как это используется

CAPTCHA — это вопрос с ответом, который помогает определить, является ли пользователь роботом или нет.

Аутентификация Reliance использует многошаговые входы, чтобы гарантировать, что пользователь не является мошенником. Вот некоторые примеры:

• При использовании кредитной карты необходимо провести магнитную полосу или вставить чип с последующей подписью (в некоторых случаях берутся последние четыре цифры номера платежной карты). ^[1]
• Ответьте на вопрос CAPTCHA, чтобы доказать, что вы не робот.
• Ключи безопасности
• Подтверждение онлайн-аккаунта с помощью СМС или электронной почты.
• Алгоритм одноразового пароля с ограничением по времени .

Правовая основа

Введение строгой аутентификации клиентов ^[2] для онлайн-платежей в Европейском Союзе теперь связывает проверенное лицо со счетом, где такое лицо было идентифицировано в соответствии с установленными требованиями до открытия счета. Аутентификация Reliance использует уже существующие счета, чтобы подключать дополнительные услуги к этим счетам, при условии, что исходный источник является «надежным».

Концепция надежности является юридической и вытекает из различных законов о противодействии отмыванию денег (AML) и финансированию терроризма (CTF) в США ^[3] , ЕС-28, ^[4] Австралии ^[5] , Сингапуре и Новой Зеландии ^[6], где вторые стороны могут полагаться на процесс комплексной проверки клиентов первой стороны, если первой стороной является, например, финансовое учреждение.

В австралийском законодательстве «доверие» основано на разделе 38 Закона о борьбе с отмыванием денег и финансированием терроризма 2006 года (Cth).

В предложении Европейской комиссии о Директиве Европейского парламента и Совета о предотвращении использования финансовой системы в целях отмывания денег и финансирования терроризма ссылка основана на статье 11(1)(a).

В Великобритании термин «доверие» имеет весьма конкретное значение и относится к процессу, предусмотренному Положением 17 Положений о противодействии отмыванию денег 2007 года. «Доверие» в целях ПОД и «аутентификация доверия» — это не одно и то же, хотя оба используют схожие концепции.

Федеральный совет по проверке финансовых учреждений США ( FFIEC ) выпустил документ «Аутентификация в среде интернет-банкинга» от октября 2005 года. Принципы аутентификации Reliance описаны в последнем абзаце страницы 14.

Преимущества

Преимущества методов аутентификации на основе доверия:

• При использовании в сочетании с финансовыми услугами личность клиента была проверена в соответствии с требованиями законодательства о ПОД/ФТ после открытия первоначального счета.
• они повторно используют существующую безопасность, которая уже поддерживается (например, финансовыми учреждениями).
• они используют знакомые и надежные источники. Доступ к финансовому счету для извлечения токенов (которые являются либо кредитами, либо дебетами) является знакомым процессом для владельца счета и часто доступен с помощью различных средств, включая мобильный, онлайн, телефонный банкинг и доступ к банкомату.
• Оба процесса используют внутриполосный метод для передачи токенов с механизмом внеполосного ответа, посредством которого владелец учетной записи повторно вводит значение токена на новый мобильный телефон, веб-страницу или приложение. Это смягчает атаки типа «человек посередине» и «мальчик в браузере» в отношении перехвата токена.
• они являются программным решением, не требующим дополнительных жестких токенов или сложных интеграций. Токены передаются как часть финансовой сети, без необходимости в каких-либо выделенных новых сетях.
• что они могут быть реализованы без участия учреждения, выдавшего счет.

Недостатки

Использование недорогих чипов в качестве надежного устройства аутентификации сделало их легкой добычей для мошенничества и краж.

Недостатки методов аутентификации Reliance:

• зависимость от недорогих методов аутентификации, таких как компьютерные чипы, подталкивает хакеров к краже информации. ^[7]
• отсутствие эффективных инструментов для отслеживания мошенничества, особенно после перехода от магнитных полос к компьютерным чипам. ^[8]
• дополнительное время для администраторов, чтобы загрузить дополнительное программное обеспечение, и для пользователей, чтобы ввести свою информацию. ^[8]
• его неспособность поддерживать мобильные устройства.
• Неправильная практика использования паролей позволяет мошенникам красть информацию с нескольких платформ. ^[7]

Смотрите также

• Аутентификация
• Взаимная аутентификация
• Одноразовый пароль
• Строгая аутентификация

Ссылки

1. «Внедрение в США платежных карт с компьютерными чипами: последствия для мошенничества с платежами» (PDF) . www.kansascityfed.org .
2. "ЕЦБ выпускает окончательные Рекомендации по безопасности интернет-платежей и начинает публичные консультации по услугам доступа к платежным счетам". 31 января 2013 г.
3. "Закон о банковской тайне/Руководство по проверке мер по борьбе с отмыванием денег" (PDF) . Федеральный совет по проверке финансовых учреждений . 2006 . Получено 2022-02-18 .
4. "EUR-Lex - 52013PC0045 - EN - EUR-Lex" .
5. "Закон о борьбе с отмыванием денег и финансированием терроризма 2006 года". Comlaw.gov.au . Получено 2022-02-18 .
6. "Закон и положения о ПОД/ФТ - dia.govt.nz". Архивировано из оригинала 2013-10-04 . Получено 2013-10-01 .
7. Holm, Eric (23 марта 2014 г.). «Социальные сети и кража личных данных в цифровом обществе».
8. «Двухфакторная аутентификация для начинающих». 24 июня 2021 г.