Serveur d'impression

Authentification multifactorielle et détection de fraude d'identité en … – Bien choisir son serveur d impression

Le 18 juillet 2019 - 45 minutes de lecture

1. Introduction

le secteur des services financiers évolue rapidement: attentes croissantes et changeantes des clients, changement radical vers les chaînes numériques (mobile), tsunami de nouvelles réglementations (PSD2, GDPR, MiFID2, loi Dodd-Frank…), nouvelles évolutions technologiques
 (par exemple, IoT), concurrence accrue des acteurs de FinTech…

Ces évolutions rapides obligent les banques à fournir rapidement de nouveaux services financiers innovants et attrayants, avec un excellent et expérience utilisateur sans friction. Dans le même temps, le secteur des services financiers devrait être prudent
 ne pas compromettre la confiance de ses clients. Cela signifie que les clients doivent être sûrs que leurs transactions seront correctement exécutées et que leurs informations financières sont en sécurité avec leur banque. Sécurité est essentiel dans cette histoire, mais
 garantir la sécurité est plus facile à dire qu'à faire, étant donné que le secteur des services financiers est la principale cible des cybercriminels au cours des dernières années (au Royaume-Uni, les services de paiement et les services financiers représentent environ 75% des attaques informatiques).

Les attaques de logiciels malveillants, de phishing, d'ingénierie sociale et de fraude augmentent d'année en année, de nouvelles méthodes d'attaque utilisant la technologie mobile, telles que l'usurpation d'identité et le clonage, sont de plus en plus utilisées et chaque jour, une faille de sécurité se produit dans le secteur des services financiers.
 De telles violations entraînent non seulement des pertes financières, mais nuisent considérablement aux clients et à la banque, car les données financières sont parmi les informations les plus sensibles stockées sur Internet. Aujourd’hui, on estime que le coût annuel des fraudes d’identité en ligne est plus élevé
 qu'un billion de dollars.

La première étape pour assurer la sécurité est authentification, c'est-à-dire vérifier que quelqu'un est bien celui qu'il dit être (et pas quelqu'un qui a volé cette identité). Pour le secteur des services financiers, avoir un sécurisé mais convivial authentification
 Ce processus n’est plus une bonne chose à faire, mais une nécessité.
Les méthodes d’authentification actuelles, qui reposent généralement sur des mots de passe, ne répondent cependant à aucun de ces objectifs, c’est-à-dire que les mots de passe donnent une mauvaise expérience utilisateur et ne sont pas du tout sécurisés.

Les banques sont investissant traditionnellement lourdement dans les solutions d'authentification. Avec des dépenses de plus d’un milliard de dollars par an (représentant environ 30% du budget total consacré à la sécurité des banques), les banques sont les principaux investisseurs dans ces technologies.
Dans ce blog, j’espère démontrer cependant que ces les investissements devraient encore augmenter dans les années à venir, car les banques auront du mal à fournir des méthodes d’authentification sûres et sans frictions.

La sécurisation des services financiers est toutefois plus qu'une simple authentification. En règle générale, nous pouvons identifier 4 étapes pour fournir l'accès à un service à une personne:

  • Identification: avant de fournir à un utilisateur des informations d'identification (mots de passe, certificats, jetons de matériel ou données biométriques inscrites, par exemple), une banque doit s'assurer que l'utilisateur correspond à la personne physique. Pour la plupart des sites Web, cette étape est ignorée, ce qui signifie
     n'importe qui peut créer de faux comptes ou des comptes sur le nom de quelqu'un d'autre.
    Les banques sont toutefois fortes dans cette étape car elles sont obligées par les régulateurs d'effectuer une étape KYC (Know Your Customer) dans le processus d'intégration de leurs clients. Cette étape vérifie et valide l'identité du client.

  • Authentification: l'authentification est l'étape qui permet de s'assurer que l'utilisateur est bien ce qu'il dit être. Cela nécessite généralement une connexion avec un mot de passe (connu uniquement de cette personne) ou avec une technique plus complexe telle que l'authentification biométrique.

  • Autorisation: après l’authentification de l’utilisateur, l’étape d’autorisation déterminera ce à quoi l’utilisateur peut accéder.

  • Comptabilité: comptabilité est le processus d'enregistrement de chaque accès à une ressource. Il va généralement stocker des informations telles que le moment où l'utilisateur a accédé à quelle information. Ces informations permettent d’enquêter sur des cas de fraude ou d’autres types de sécurité
     problèmes.

Dans ce blog, je vais se concentrer sur "l'authentification", bien que l’étape «Identification» soit également couverte, puisqu’une «authentification» précédée d’un bon processus «d’identification» se traduira par une bien meilleure sécurité. Depuis les banques et
 les gouvernements sont actuellement presque les seuls acteurs du marché à proposer cette combinaison, ce qui peut être considéré comme un véritable atout pour les banques.

2. Pilotes

Comme indiqué dans "Introduction", les investissements dans nouvelles techniques d'authentification (plus sécurisées et plus conviviales) (méthodes d’authentification multifactorielles et basées sur les risques) devraient augmenter considérablement.

Cette évolution est motivée par plusieurs tendances:

  • Attentes accrues et changeantes des clients: les clients exercent de plus en plus leurs activités bancaires en numérique et s’attendent à une expérience utilisateur sans friction, disponible en temps réel, 24 heures sur 24, 7 jours sur 7, sur plusieurs canaux et prenant en charge la continuité sur plusieurs canaux.
     Cela nécessite des mécanismes d’authentification très conviviaux et adaptés à chaque canal (par exemple, l’utilisation de la reconnaissance faciale pourrait être difficile avec Internet Banking, car chaque ordinateur de bureau n’est pas équipé d’un bon appareil photo, alors que ce type d’authentification
     est très approprié pour les services bancaires mobiles).

  • Changement dans la prise de conscience du client: grâce à la couverture accrue de la cyber-sécurité et de la fraude numérique (identité) dans les médias et au fait regrettable que de plus en plus de clients sont victimes de fraudes numériques (identité),
     une sensibilisation croissante du public aux risques liés à la banque numérique. De plus, avec les entreprises qui collectent des données sur tout ce que nous faisons dans notre vie, les préoccupations relatives à la confidentialité des données ont également considérablement augmenté au cours des dernières années. Heureusement ces évolutions
     ont également entraîné une acceptation croissante par le public des technologies (telles que la bio-métrique) qui permettent une meilleure sécurité.

  • Nouvelle réglementation: les régulateurs obligent les banques à investir massivement dans l'amélioration des méthodes d'authentification. Par exemple. Deux réglementations européennes récentes dans le secteur des services financiers ont un impact considérable sur l'authentification:

    • GDPR (règlement général sur la protection des données): le GDPR oblige les organisations, en cas de violation de données, à informer les autorités dans les 72 heures et toutes les personnes concernées dans les plus brefs délais. Cela augmente considérablement le risque juridique et de réputation
       pour les banques, les forçant ainsi à éviter autant que possible les violations et à améliorer les structures en place pour identifier rapidement les anomalies ou les cas de violation.

    • DSP2 (directive révisée sur les services de paiement): le présent règlement applique

      • Tous les TPP doivent utiliser une authentification forte à 2 facteurs

      • Les banques doivent ouvrir les API aux TPP pour initier les paiements et récupérer les informations de compte. Cette ouverture des API fournit un nouveau "canal" pour les banques, qui doit également être correctement sécurisé.

      • En cas de paiement non autorisé, la banque devra indemniser le client immédiatement (même si le TPP est responsable). Les banques ont donc tout intérêt à éviter les paiements non autorisés.

  • Pression sur la réduction des coûts d'exploitation: en raison des taux d'intérêt historiquement bas et de la concurrence accrue des autres banques et des acteurs de la technologie financière, les marges bénéficiaires des banques sont sous pression. Les banques doivent donc trouver des moyens de réduire
     coûts opérationnels. L’amélioration des méthodes d’authentification peut sembler coûteuse au début, mais elle peut également entraîner une réduction des coûts, par exemple.

    • Réduction des demandes de rétrofacturation, c'est-à-dire réduction du montant d'argent à rembourser aux clients en raison de paiements frauduleux

    • Amélioration de l'efficacité en automatisant les processus, par exemple

      • Accélérez et simplifiez l'intégration des clients grâce à la gestion de l'identité numérique

      • Automatisez la surveillance continue de KYC (par exemple, obtenez une copie récente de la carte d’identité du client). Ce processus pourrait être automatisé via l'intégration avec "carte d'identité électronique".

      • Automatiser la validation manuelle des signatures sur les documents (par exemple, au moyen de techniques de signature numérique ou de ROC)

      • Automatiser l'identification des clients dans les agences, par exemple Grâce à la technologie Beaken à l'entrée et aux nouvelles technologies d'authentification, le client peut être automatiquement sélectionné dans l'application de la succursale dès son entrée dans la succursale.

      • Les appels vers le centre d'appels de la banque peuvent être simplifiés grâce à l'authentification du client basée sur l'identité de l'appelant et la biométrie vocale

  • Évolutions technologiques: les évolutions technologiques récentes fournissent les moyens, mais aussi la nécessité, de méthodes d'authentification plus robustes et plus conviviales:

    • Les appareils de lecture biométrique sont maintenant disponibles à des prix accessibles. En particulier, l’émergence des smartphones dotés de capteurs d’empreintes digitales et de caméras de haute qualité a ouvert la voie aux banques pour l’utilisation des technologies biométriques sans aucune résistance ni nécessité du marché.
       pour l'éducation des consommateurs.

    • L'augmentation du nombre d'appareils connectés intelligents (Internet of Things) nécessitera également une forte évolution des méthodes d'authentification.

    • La tendance vers plus de Single Sign On évite aux utilisateurs de s’authentifier plusieurs fois pour différents sites Web / applications, mais de s’authentifier une seule fois et de réutiliser cette authentification.

  • Solution d'authentification en tant que marchandise (service): avec l’émergence de sociétés de sécurité spécialisées (OneSpan, Gemalto, Onegini, Auth0, Okta, ForgeRock, etc.) proposant des services via le cloud, les solutions d’authentification sont devenues
     une marchandise, permettant aux banques de déployer rapidement de nouvelles technologies d’authentification. Ces solutions sont fournies à la demande via des infrastructures cloud privées ou publiques et peuvent être personnalisées en fonction des besoins du client.

3. Authentification multi-facteurs (MFA)

L’authentification multi-facteurs (MFA) oblige un utilisateur à fournir deux ou plusieurs facteurs d'authentification indépendants authentifier l'utilisateur. Le plus commun utilise 2 facteurs indépendants. Dans ce cas, on parle d'authentification à 2 facteurs (2FA).

Le mot "facteurs indépendants"est important. Les méthodes d'authentification peuvent être divisées en 3 catégories:

  • Quelque chose que l'utilisateur sait (par exemple, mot de passe, code PIN)

  • Quelque chose que l'utilisateur possède / possède (par exemple, carte, téléphone mobile)

  • Quelque chose est l'utilisateur (c.-à-d. authentification biométrique)

En utilisant deux facteurs de la même catégorie ne sont pas considérés comme une authentification à deux facteurs. Par exemple. combinaison d'un mot de passe avec un ensemble de "faits secrets" (par exemple, des questions sur la personne, par exemple "le nom de votre premier chien", "le nom de jeune fille de votre mère"…)
 est considérée comme une authentification à facteur unique (SFA), car les deux facteurs appartiennent à la catégorie "Quelque chose que l'utilisateur sait".

L’exemple le plus connu d’authentification à deux facteurs est le paiement avec votre carte de débit ou de crédit (ou le retrait d’argent du guichet automatique avec ces cartes). La carte est "quelque chose que vous avez", alors que le code PIN est "quelque chose que vous connaissez".
Une autre pratique très courante consiste à envoyer un SMS avec un mot de passe à usage unique (c'est-à-dire un jeton OTP). Après avoir entré votre nom d'utilisateur et votre mot de passe sur un site Web, vous recevez un SMS contenant un code aléatoire. Ce code doit également être saisi sur le site Web. L'authentification à 2 facteurs
 est assuré par le mot de passe à saisir sur le site ("quelque chose que vous connaissez") et le fait que vous ayez besoin de votre téléphone portable ("quelque chose que vous avez").

Remarque: dans le secteur bancaire, le terme "Authentification forte du client"(SCA) est souvent utilisé. Officiellement," Authentification forte du client "peut également être une authentification à facteur unique, mais dans la plupart des réglementations (par exemple, PSD2) et des livres blancs dans
 secteur bancaire, les expressions "Authentification client forte" et "Authentification client multifactorielle" sont synonymes.

Même si pas complètement étanche, L’authentification multi-facteurs réduit considérablement les chances d’un attaquant de voler les informations d’identité d’un utilisateur. et les réutiliser.

Cependant, de nombreuses banques, notamment aux États-Unis, utilisent encore une authentification à facteur unique (nom d'utilisateur / mot de passe) en raison de leur simplicité. Une évolution vers une authentification à deux facteurs est indispensable pour assurer une sécurité adéquate, même avec une authentification aussi forte
 est progressivement compromise par des attaques de fraude en ligne plus sophistiquées (par exemple, des attaques de type homme au milieu). Par conséquent, les précurseurs commencent maintenant à mettre en œuvre une authentification multi-facteurs basée sur les risques.

4. Authentification basée sur les risques (RBA)

Les banques commencent à évoluer vers une authentification basée sur le risque (le approche en couches), pour rendre l’authentification plus facile (par exemple, éviter que l’authentification ne pèse sur le client) et plus sûre (authentification à 2 facteurs
 ne traite qu’un seul vecteur de menace) que l’authentification multifacteur. Cela peut aussi être considéré comme conscient du contexteauthentification ou adaptatif authentification.

Ce type de système d'authentification non statique utilise les techniques suivantes:

  • Au lieu d’avoir la même authentification pour toutes les demandes, le la complexité de l'authentification sera basée sur le profil de risque de la demande.

  • le profil de risque d'une demande sera basé sur plusieurs facteurs, par exemple.

    • Le profil de risque du client, par exemple richesse du client, âge du client, connaissance du client en matière de cybersécurité, habitudes de consommation du client, c’est-à-dire que le client achète souvent sur des sites Web en ligne, qui sont moins sécurisés…
       Le facteur à prendre en compte ici est également le temps passé par le client à la banque, car des études ont montré que le risque de fraude est considérablement plus élevé dans les 90 premiers jours suivant l’installation d’un nouveau client.

    • Le type de transaction, par exemple Voir un solde est moins risqué que de commencer un paiement et effectuer un paiement à une contrepartie connue est moins risqué qu'à une contrepartie inconnue.

    • Les détails de la transaction, par exemple le montant de la transaction, le pays de la contrepartie…

    • Détails du dispositif à partir duquel la transaction est effectuée, p. Ex. un téléphone mobile pourrait être considéré comme plus sûr qu'un PC. Mais des détails plus complexes peuvent également être pris en compte, c’est-à-dire le système d’exploitation de l’appareil (iOS peut être considéré comme plus sécurisé qu’Android,
       en raison du contrôle plus étroit d’Apple sur son App Store), le numéro de version du navigateur, le type de navigateur (par exemple, si l’utilisateur utilise toujours un navigateur spécifique et utilise désormais un autre navigateur)…

    • Géolocalisation: si la demande est faite à partir d'un téléphone mobile, les informations GPS du téléphone mobile peuvent être associées à la demande. Cette information peut être utilisée pour le calcul du risque. Par exemple. si la demande est faite depuis un lieu éloigné de l'endroit où le client effectue normalement
       demandes de ou si le client a fait une demande à 1 emplacement et une autre demande un peu plus tard à partir d’un emplacement très éloigné du premier emplacement, cela peut être une indication sérieuse d’une transaction frauduleuse.

    • Timing: le timing peut également être un facteur important. En comparant le moment d'une demande avec les temps typiques auxquels le client fait une demande, il est possible d'identifier les transactions à risque plus élevé.

    • Comportement typique du client: la demande (type de transaction, géolocalisation, timing, etc.) s’adapte-t-elle au comportement typique du client, c’est-à-dire qu’elle n’est pas déréglée et suspecte?
      Cela peut être lié à cette transaction spécifique, mais également à la façon dont le client navigue sur le site Web. Par exemple. si le client commence toujours par vérifier d'abord les détails de son compte et de sa carte de crédit avant d'effectuer les paiements, il peut être considéré comme supérieur
       risque si le client va directement au module de paiement.

    • Connaissance du marché, c’est-à-dire que si une banque est au courant d’une attaque en cours de piratage / phishing, elle peut souhaiter augmenter temporairement les exigences en matière d’authentification. Cela peut être limité aux types de périphériques / sites / clients spécifiques ciblés par l’attaque, si cela se produit.
       l'information est connue.

  • L'algorithme de calcul du profil de risque devrait être un moteur temps réel, optimisé pour détecter le plus possible le risque de fraude. Apprentissage automatique et autres techniques d'intelligence artificielle (IA) devrait être mis à profit
     d'optimiser en permanence ce moteur.
    Les informations sur les cas de fraude détectés doivent également être transmises à ce moteur, de sorte que l'amélioration continue (automatique) de l'algorithme puisse être obtenue.

  • Au lieu d’une authentification unique lors de la connexion, l’authentification basée sur les risques devrait également prévoir un "authentification continue". Le calcul du risque en temps réel ci-dessus ne devrait pas seulement se produire au moment de la connexion (en utilisant ces techniques,
     la connexion pourrait éventuellement même disparaître), mais avant toute action de l'utilisateur (c'est-à-dire que l'authentification silencieuse et l'évaluation des risques sont effectuées en arrière-plan). À chaque instant, l'utilisateur peut être invité à fournir une authentification supplémentaire si le profil de risque
     dépasse le niveau de confiance associé à la ou aux méthodes d'authentification utilisées jusqu'à ce moment-là.
    L’authentification continue peut aussi être parfaitement améliorée en utilisant métrique comportementalecomme par exemple authentification du rythme du clavier (voir ci-dessous pour plus de détails) et mouvements de la souris. Un smartphone pourrait également fournir un score de risque à la banque quant à la
     probablement, il est tenu par son utilisateur normal. Cela peut être basé sur les données du capteur (GPS, accéléromètre, appareil photo, etc.) et sur les activités (par exemple, les sites Web visités) que l'utilisateur effectue sur son smartphone. Ce score pourrait également être utilisé par la banque pour améliorer la sécurité.

  • Quand le niveau de confiance est dépassé, authentification supplémentaire peut être demandé, mais la banque peut également choisir de limiter la transaction (par exemple, montant de transaction limité), bloquer la transaction ou Couper
     la session complète
    .

  • Réseaux de fraude collaboratifs: l'authentification basée sur les risques est optimisée en fonction des informations disponibles. La coopération entre différentes entreprises (de différents secteurs) est donc essentielle pour partager des informations sur les cas de fraude. Cette information
     permet aux banques de:

    • Introduisez cette information dans leur moteur de calcul du risque, améliorant ainsi leur système de détection de fraude.

    • Informer les clients (par exemple via des messages sur les plateformes bancaires) des attaques de fraude en cours.

  • Mécanismes de configuration (courrier, SMS, téléphone) pour informer les clients lorsque des transactions suspectes sont en cours et demandez au client de confirmer (approbation du courrier électronique, vérification du rappel,…) qu'une transaction donnée est valide.

Toutes ces techniques visent à augmenter la sécurité (la faiblesse d’un contrôle est compensée par la force d’un contrôle différent), tandis que éviter les étapes inutiles de saisie ou de vérification (c'est-à-dire une authentification supplémentaire
 les couches ne sont déployées qu'en cas de besoin), améliorant ainsi l'expérience client.
Ces techniques sont déjà utilisées par les géants de la technologie (Amazon, Apple, Google) depuis quelques années et certains marchands en ligne ont même optimisé ce système de manière à ne nécessiter qu'une authentification à 2 facteurs pour 5 à 10% des utilisateurs. les transactions, tout en
 en gardant la même sécurité que s'ils demandaient une authentification à 2 facteurs pour toutes leurs transactions. Cela leur a permis de maintenir leur risque opérationnel tout en augmentant leurs revenus (moins de taux d'abandon du panier étant donné que les consommateurs paient plus facilement).

5. Types d'authentification

Comme mentionné dans le chapitre sur l’authentification "multi-facteurs", différents types de techniques d'authentification existent.

Ceux-ci peuvent être divisés en 3 catégories:

  • Quelque chose que vous savez (Facteurs de connaissance)

  • Quelque chose que vous avez / possédez (Facteurs de possession)

  • Quelque chose que vous êtes (Facteurs d'inhérence)

Etant donné que les banques évoluent vers une authentification multi-facteurs basée sur le risque différents types d'authentification doivent être pris en charge. Le nombre de techniques à prendre en charge est encore accru par le fait que les banques doivent soutenir plusieurs
 canaux
, guichets automatiques, centres d’appels / services bancaires téléphoniques, services bancaires en ligne, services bancaires mobiles, succursales, paiements chez les commerçants… Étant donné que certaines techniques d’authentification conviennent mieux à des canaux spécifiques, il est conseillé d’utiliser des méthodes d’authentification.
 également adapté par canal, assurant ainsi une expérience utilisateur optimale.

5.1. Quelque chose que vous savez (Facteurs de connaissance) 5.1.1. Mot de passe

Les mots de passe sont encore de loin le technique d'authentification la plus utilisée. Cela en raison de leur facilité d'utilisation et simplicité d'installation.

Les mots de passe fournissent cependant une beaucoup de problèmes de sécurité:

  • Les mots de passe sont difficile à l'échelle. Plus un utilisateur a de comptes, plus il est obligé de se souvenir des mots de passe. En outre, pour être sûrs, les mots de passe doivent être suffisamment complexes (suffisamment longs et combiner des lettres, des chiffres et des caractères).
     caractères spéciaux), non réutilisés sur différents comptes et régulièrement modifiés. Ces exigences de sécurité rendent une authentification rapide difficile et rendent encore plus difficile la mémorisation. En conséquence, soit ces pratiques de sécurité ne sont pas suivies, soit
     les mots de passe sont physiquement enregistrés, souvent à proximité du périphérique d’authentification (par exemple, sur des notes autocollantes). Le plus commun est la réutilisation du même mot de passe pour plusieurs comptes, c’est-à-dire une étude du site Web Tweakers a montré que les deux tiers de ses utilisateurs réutilisaient le même mot de passe.
     pour plusieurs sites.

  • Les mots de passe sont pas très sans friction, conduisant à beaucoup de frustration des clients. Une enquête réalisée aux États-Unis et au Royaume-Uni a montré que 70% des répondants ne sont pas satisfaits de l'accès contrôlé par mot de passe.

  • Les mots de passe sont facilement volé ou brisé à travers:

    • Attaque par dictionnaire, force brute ou arc-en-ciel

    • Attaques de type "homme au milieu", c'est-à-dire que la communication entre deux parties est interceptée par une tierce partie

    • Il suffit de regarder l'utilisateur quand il entre son mot de passe

    • Ingénierie sociale, c'est-à-dire récupérer des informations confidentielles directement de l'utilisateur. Cela peut être fait en contactant l'utilisateur personnellement, par courrier électronique (souvent appelé phishing) ou par plongée dans des poubelles.

    • Mauvaise sécurité sur certains sites Web (par exemple, pas de cryptage sur les sites Web, mauvaise configuration du pare-feu…)

  • Le rapport annuel d’enquêtes sur la violation des données de Verizon a montré que 63% des violations de données confirmées ont été causées par des mots de passe faibles ou volés.

  • Comme tous les services pour lesquels vous créez un compte ne sont pas sécurisés, il est fort probable que l'un d'entre eux soit piraté. En raison de la réutilisation des mots de passe, il existe un effet domino (également appelé "effet de débordement") que des services plus sécurisés sont compromis.

  • La sécurité par mot de passe peut être améliorée en bloquer le compte après X tentatives infructueuses. Cela donne une solution pour les attaques par dictionnaire, force brute ou table arc-en-ciel, mais présente également des inconvénients considérables:

    • Aucune solution aux autres types d'attaques

    • Les banques doivent prévoir un centre d'assistance pour réinitialiser le mot de passe verrouillé, ce qui est très coûteux. Des études ont montré que jusqu'à 30% des appels d'assistance aux centres d'appels des banques sont des demandes de réinitialisation de mot de passe et que le coût moyen de traitement d'un tel appel
       est estimé à environ 25 $ en coûts de main-d'œuvre.

    • La procédure de réinitialisation peut constituer en soi un risque important pour la sécurité, car cette procédure peut également être utilisée par les pirates pour casser les mots de passe.

    • Le blocage d'un compte n'est généralement pas possible pour les comptes "admin", car cela pourrait bloquer l'ensemble du système. Comme il s’agit des comptes d’utilisateur, qui doivent être le plus sécurisés, d’autres solutions d’authentification doivent être trouvées.

5.1.2. ÉPINGLE

Cette méthode d'authentification est beaucoup utilisée en combinaison avec des cartes (par exemple, carte de débit, carte de crédit, carte d'identité, etc.). Généralement, un code PIN est constitué d'un code à 4 chiffres.
Cela signifie qu'un attaquant devrait deviner en moyenne 5 000 fois le code PIN correct (en supposant que le client n'ait pas utilisé un code PIN évident tel que "1234" ou sa date de naissance). Si un ordinateur fait le travail, cela peut prendre quelques secondes. Les banques prévoient
 donc toujours un fonction de verrouillage, après 3 tentatives infructueuses.

5.1.3. Image identifiable

Cette technique est très similaire à un mot de passe, mais au lieu que l’utilisateur doive se souvenir d’un mot de passe, il doit se souvenir d'une image. Lorsqu'un utilisateur enregistre son compte, une image lui est fournie.
Ensuite, lorsque l'utilisateur tente de se connecter, plusieurs images sont affichées et l'utilisateur doit sélectionner la bonne image.

La technique est plus complexe à mettre en œuvre que les mots de passe simples, mais présente l'avantage que:

5.1.4. Passphrase

Une phrase secrète est un type spécial de mot de passe, composé de plusieurs mots, qui forment une phrase. Cela le rend plus facile à retenir et plus sécurisé (depuis plus longtemps) que les mots de passe traditionnels.

L'inconvénient est qu'ils ont besoin plus de frappe, ce qui est encore plus un inconvénient sur les appareils, sans claviers, comme par ex. téléphones portables.

5.1.5. Faits secrets

Les faits secrets sont un ensemble de questions auxquelles un utilisateur devrait répondre et, normalement, seul lui le sait la réponse à. Lorsqu'un utilisateur crée un compte, il lui sera demandé de répondre à quelques questions. Ensuite, quand il enregistre un ensemble de questions aléatoires (généralement
 3) sera sélectionné, auquel l'utilisateur doit répondre.
Des exemples typiques sont: "Nom de votre premier animal de compagnie", "Nom de jeune fille de votre mère", "Nom de votre première école", "Lieu de votre première école"…

Cette technique est souvent utilisé pour les réinitialisations de mot de passe.
La méthode a l'avantage d'être facile à retenir, mais présente également plusieurs inconvénients:

  • Seule une combinaison de plusieurs questions fournit un niveau de sécurité raisonnable. Cela se traduit par expérience utilisateur moins fluide que les mots de passe traditionnels.

  • Les réponses peuvent souvent être retrouvées via recherche sur les réseaux sociaux ou d'autres sources d'information.

  • Problèmes avec orthographe des réponses, utilisation des majuscules et réponses ambiguës (par exemple, "nom de votre école" pourrait inclure ou exclure le nom de la ville où est située votre école) peut exister.

5.2. Quelque chose que vous possédez (facteurs de possession)

Ce type d’authentification n’est presque jamais utilisé seul, car il peut être facilement volé ou dupliqué.
En combinaison avec "quelque chose que vous connaissez", il s'agit de l'authentification à deux facteurs la plus courante à l'heure actuelle.

5.2.1. Carte

Outre les mots de passe, les cartes sont probablement la technique d’authentification la plus utilisée. Pensez à votre carte (s) de débit, carte (s) de crédit, carte d'identité électronique
Toutes ces cartes permettent d'authentifier un utilisateur, en tout ou en partie avec un code PIN ou une signature. Par exemple, un guichet automatique utilise une authentification à 2 facteurs, composée de la carte (quelque chose que vous possédez) et du code PIN (quelque chose que vous connaissez).

Certaines banques offrent aussi lecteurs de cartes à leurs clients d'autoriser l'utilisation de l'authentification par carte pour les services bancaires par Internet et par mobile. Lorsqu'un client souhaite se connecter, un défi lui est fourni. Le client met sa carte dans le
 lecteur de carte, tape le défi et son code PIN. Le lecteur de carte générera alors un OTP (mot de passe à usage unique), que le client remplit pour se connecter au site / à l'application.

Bien que ces lecteurs de cartes offrent un moyen simple de réutiliser les techniques d’authentification existantes pour les canaux numériques, ils coûteux (les lecteurs de cartes sont souvent gratuits pour le client) et pas très pratique pour les clients (clients
 toujours avoir à son bord un lecteur de carte).

5.2.2. Jeton USB

Un jeton USB est un jeton qui doit être branché sur le port USB d’un ordinateurafin que l’ordinateur ait accès à l’information. Le jeton USB est considéré comme "quelque chose que vous avez", alors que le mot de passe est "quelque chose que vous connaissez". En outre, le
 Le jeton fournit généralement un stockage sécurisé pour plusieurs identifiants de connexion, de sorte que l'utilisateur n'a besoin que de mémoriser un seul mot de passe.

Un exemple bien connu de clé USB est un YubiKey, qui est pris en charge par Gmail, Facebook, GitHub… Lorsqu'un utilisateur souhaite se connecter à un tel site Web, il commence par insérer sa clé YubiKey dans le port USB, entre son mot de passe et des clics dans le champ.
 dans lequel l'OTP devrait être inséré. Si ce champ prend en charge la clé YubiKey, un bouton apparaîtra qui demandera à YubiKey de générer un mot de passe à usage personnel et de le saisir automatiquement dans le champ.
Cet OTP est ensuite envoyé du service en ligne à Yubico pour vérification de l'authentification. Une fois l'OTP validé, Yubico envoie un message confirmant l'authentification.

5.2.3. Jeton de clé

Un jeton de porte-clés est un petit périphérique physique, qui génère des mots de passe à usage unique. L'un des exemples les plus utilisés est le porte-clé RSA SecurID, qui est souvent utilisé pour authentifier les employés sur un réseau VPN (par exemple, pour le travail à domicile).

La plupart des jetons de porte-clés sont synchrone dans le temps ce qui signifie que le jeton et le serveur sont synchronisés. Lors de la connexion, l'utilisateur doit souvent concaténer un mot de passe avec le code apparaissant sur le porte-clés. Cela garantit une authentification à deux facteurs ("mot de passe"
 est quelque chose que vous savez et le "porte-clés" est quelque chose que vous possédez).

Les jetons de porte-clés ont l'avantage d'être faciles à configurer et à utiliser, mais présentent également certains inconvénients importants, à savoir:

  • Très coûteuxc’est-à-dire que le coût total (c’est-à-dire le coût du jeton, mais aussi le coût au sein de l’organisation à distribuer à l’utilisateur) est élevé. De plus, les jetons sont souvent perdus et ne durent que 2 à 3 ans.

  • Le besoin de resynchroniser (c’est-à-dire dans le cas où l’horloge du jeton a dérivé) crée une faiblesse dans le processus.

  • Pas de lien avec l'individu, c’est-à-dire qu’il peut être facilement perdu sans possibilité de le ramener au propriétaire, mais augmente également le risque de violation de la sécurité

En raison de ces inconvénients, les jetons de porte-clés sont de plus en plus remplacés par des unités beaucoup moins chères "jetons mous", qui fonctionnent exactement de la même manière, sauf que le" jeton "est généré par une petite application sur le smartphone de l'utilisateur.

5.2.4. Téléphone portable

L'émergence des téléphones (intelligents) mobiles fait de ce téléphone de plus en plus la technique d'authentification privilégiée pour la catégorie "quelque chose que vous possédez", d'autant plus qu'un utilisateur l'a toujours à portée de main. Surtout que les téléphones intelligents modernes peuvent
 supporte également plusieurs techniques d'authentification dans la catégorie "quelque chose que vous êtes" (voir ci-dessous).

Les téléphones mobiles sont généralement utilisés pour 3 types de techniques d’authentification, à savoir:

  • Le site envoie un SMS avec un mot de passe unique unique sur votre téléphone mobile, que l'utilisateur doit entrer.

  • Le site génère un appel téléphonique automatisé, auquel l'utilisateur doit répondre pour continuer la connexion.

  • Une application installée sur le smartphone, qui génère une jeton logiciel basé sur le temps (voir au dessus). Les exemples bien connus de cette catégorie sont l'application RSA SecurID, l'application Google Authenticator et le générateur de code de l'application Facebook.

La tendance est clairement au dernier type d’authentification, ce qui présente plusieurs avantages:

  • L'utilisateur n'a pas à divulguer son numéro de téléphone sur le site Web, en évitant les problèmes de confidentialité des clients.

  • L'utilisateur n'a pas à attendez que le SMS soit arrivé, offrant une expérience utilisateur plus fluide.

  • Plus sécurisé, par exemple. Pour SMS, de nombreux logiciels spoofing sont disponibles, ce qui signifie que SMS est vulnérable aux attaques de type "man-in-the-middle". La "transférabilité du numéro de téléphone portable" est un autre risque de SMS et de rappel.

  • Plus fiable, par exemple. s'il n'y a pas de connexion réseau, il n'est pas possible de recevoir un appel ou un SMS, mais il est tout de même possible d'utiliser l'application soft-token.

Ce type d’authentification pose toutefois toujours le problème que l’utilisateur saisit les deux mots de passe (c'est-à-dire son mot de passe et le mot de passe à usage unique généré sur le téléphone mobile) sur le même site. Une solution potentielle pour cela est
 par envoi du mot de passe à usage unique via la connexion réseau du téléphone.
Ceci peut être réalisé par le utilisation de codes QR, l’utilisateur remplit sur le site son mot de passe et le site génère un code QR. Ce code QR est scanné avec le téléphone portable du client, qui envoie automatiquement un message à un site Web spécifique,
 qui identifie le téléphone mobile et donc le 2e facteur de l'authentification.

5.2.5. Certificats numériques

Une autre forme de jeton est un certificat numérique. Il s’agit d’un fichier stocké sur un ordinateur, qui donne à l’utilisateur un accès autorisé à une ressource spécifique. Bien que cela soit purement numérique, cela peut aussi être considéré comme "quelque chose que vous possédez".

Un certificat numérique est délivré par un Autorité de certification (CA), qui vérifie l'identité du propriétaire. Les certificats sont généralement délivrés pour une période déterminée, après quoi ils expirent et peuvent normalement être renouvelés.

Un exemple typique est le certificat délivré par le gouvernement belge, associé à la carte d'identité électronique belge. Ce certificat peut être utilisé pour l'authentification et la signature numérique.

5.2.6. Des appareils connectés

Les appareils connectés utilisent un connexion pré-établie (par exemple, Bluetooth) à partir d’un périphérique authentifié (par exemple, un téléphone mobile) vers un autre périphérique (par exemple, un ordinateur de bureau).
This connection is prove of presence of the authenticated device, meaning that 1 factor of the 2-factor authentication is established.

While this method is very user friendly, it can only be used when there is a proximité physique between the user and the device. This makes the solution not directly applicable for all use cases.

5.3. Something you are (Inherence Factors)

Up to a few years, authentication techniques of the category "Something you are" – also called biométrie – were limited to very niche use cases (mainly due to their cost price), but with the rise of smartphones they are now becoming mainstream.
 Most smartphones now have a fingerprint sensor and a high-pixel camera allowing other types of identification.

Biometric authentication has a lot of advantages, since it cannot be shared, borrowed or forgotten (resulting in higher security) and provides a frictionless user experience.

Thanks to these advantages and the fact that most customers own a smart phone, big banks are increasingly offering their customers the possibility to use biometric authentication.

Biometrics should still be combined with another technique of authentication, since they are also not fully safe. The main disadvantages of biometrics are:

  • Biometrics are visible to anyone (no way to hide them)

  • A biometric cannot be changed in case of a breach

  • A high tolerance is required to avoid usability problems. This leads to a lot of false positives, even without attacks.

  • A bypass must be foreseen. Since each biometric can always give a false negative and a customer cannot adjust something at that moment, it is necessary to foresee a bypass mechanism. Such a bypass can be a password or another type of biometric technology.

Biometric authentication can be categorized in 2 main categories:

  • User Physical Characteristics Metrics, like facial recognition, finger print…​

  • User Behavior Metrics (Behavioral Metrics), like gesture, keystroke rhythm…​

5.3.1. Facial Recognition

Facial recognition consists of authenticating a person based on a photo (or set of photos), using face-matching capabilities. Using modern high-pixel cameras on smart-phones this technique can be easily realized and is very user friendly.

On the other hand it is known to have quelques problemes:

  • Instead of taking a picture, hackers can send a picture which was taken of the real user. This threat is nowadays mitigated by obliging the user to blink during the facial recognition process, but there are cases where also this technique could be hacked
     using a video of the user.

  • Facial recognition gives issues in case of bad light conditions or when you have (temporary) changes to your face (e.g. bruises, cuts, plastic surgery…​).

5.3.2. Fingerprint

Fingerprint authentication consists of scanning a customer’s finger and comparing the scanned fingerprint with a recorded fingerprint.
Several smart phones (e.g. Touch ID of iPhone) nowadays provide a fingerprint sensor making this authentication technique available to the mass and therefore easy to realize and very user friendly.

This method however gives also some known issues:

  • Some people do not have fingerprints (e.g. burn victims)

  • False negatives often occur when the user does not put his finger correctly on the scanning device or when a finger is wet or injured (e.g. a cut on the finger). Furthermore, fingerprints can wear or become damaged with age.

  • The finger pattern can potentially be copied (rubber fingers)

Some of those issues can be avoided using an optical capture of fingerprints using the camera and flash of a mobile phone. This technique, for example used by the Dutch mobile bank Bunq, captures 4 fingerprints at once, resulting in a higher
 level of precision and reliability.

5.3.3. Heartbeat (Cardiac rhythm)

A less known authentication technique is based on the customer’s heartbeat, or more specifically the customer’s cardiac rhythm. Par exemple. the UK bank Halifax (part of the LLoyds Banking Group) has successfully completed a trial with this technique
 using the Nymi band.

The Nymi band reads the wearer’s cardiac rhythm (comparable to an electrocardiogram = ECG) for authentication. le shape of the ECG (not the heart rate) is also unique for each person (it depends on the size of the heart) and can cope with
 variations in heart rate and with persons with an irregular ECG, due to a medical condition.

5.3.4. Iris scan

An iris scan authenticates a user by measuring the patterns of different features (like fibers, color, pits…​) in the eye’s iris. This gives a unique identification of the user.

This scan can also be done using a smartphone camera. A variant on this is to match the unique pattern of eye veins of the users.

5.3.5. Palm (Hand Geometry)

A hand geometric scan authenticates a user by measuring the properties (finger length, width, thickness…​) of the user’s hand. These properties allow also a unique identification of the user.

Since this technique also requires to measure thickness an orthographic scan is required. This means a dispositif spécialis required.
This makes this technique not practical for digital use, except maybe for ATM machines.

5.3.6. Vein in the hand or finger

Vein authentication uses the vein pattern of the hand or a finger to unique identify a person.
This method is very accurate and very secure, since the pattern is not directly visible and therefore very difficult to replicate.

The disadvantage is again that this technology requires a dispositif spécial with special light to go under the skin.

This technology is already used a lot in ATMs of certain countries (e.g. in Japan).

5.3.7. Gesture & Handling

This type of authentication records patterns of gesture and handling in order to identify the user.

This can be done in different ways, e.g.

  • On a touch screen, the system can record the timing, distance, and angle between each pair of taps, as well as the pressure and size of each finger tap.

  • Recording of mouse movements.

  • Recording of accelerometer and gyro sensors to capture the way (i.e. displacement and rotation) the device is held.

This type of authentication is especially interesting for continuous authentication.

5.3.8. Keystroke / Keyboard rhythm

Keyboard rhythm authentication can be easily integrated in the workplace, since keyboards are already present. This type of authentication will measure different characteristics of a person’s way of typing, i.e. latency between keystrokes,
 keystroke durations, finger positions, and the amount of pressure applied to the keys.

Also, this type of authentication is especially useful for continuous authentication.

5.3.9. Voice / Speech

Voice authentication records the voice characteristics of a person. This consists of comparing the harmonic and resonant frequencies with a voiceprint created during account creation.

When a user wants to authenticate, he must speak a predetermined phrase used in the initial recording, such as his name.

This type of authentication is again very user friendly and relatively secure, but has some important drawbacks:

  • Authentication will not work when the user is ill (and his voice is impacted)

  • Not very suitable for desktop computer, since they don’t always have a microphone

  • Authentication might be difficult in a noisy environment

  • Voice of the person could be recorded and replayed by a hacker

6. Security Measures

As mentioned before, a secure authentication should consist of a layered approach, i.e.

  • En utilisant authentification multi-facteurs

  • En utilisant continuous authentication instead of one-shot authentication

  • Applying self-improving fraud detection engines based on the behavioral patterns of the user

Those authentication techniques should however be combined with other security techniques to further reduce the risk of fraud:

  • Customer should be made conscious of the role he plays in ensuring good security, i.e.

    • Installing anti-virus and anti-malware software

    • Firewalls on customer’s computer

    • Immediate installation of operating system patches and updates

    • Applying decent password policies (i.e. complex passwords, no reuse of passwords, regular changing of passwords, no physical recording of passwords…​)

    • Avoid sharing authentication details via unsecure channels (like mail, SMS or phone calls)

  • Banks should apply all internal security measures, e.g.

    • Apply the same guidelines as stated before for customers

    • Encryption of all confidential data

    • Physical security of all buildings

    • Correct destruction of all material containing confidential info (i.e. documents, IT-material…​)

    • Regular security audits to identify weak spots in the security setup

    • …​

  • Transparent and open communication of potential threads and immediate adjustment of policies, i.e.

    • Transparent communication when security breaches occur

    • Inform customers of ongoing threads

    • Exchange information about threads and successful fraud attacks within communities

    • Immediate adaptation of the fraud detection engine based on this information (e.g. increasing authentication methods or restricting or blocking access for high-risk requests)

7. Authentication as a commodity

Even if the multitude of authentication techniques makes it difficult for banks to select the right one, all those authentication methods do exist as a marchandise products.

Several firms provide out-of-the-box solutions for all those authentication techniques.
These can be technical firms providing such solutions, all or not in the cloud, but also the big tech companies like Google, Facebook and Twitter providing authentication, including two-factor authentication, as a service (i.e. so-called social
 identities), which can be integrated in other websites/services.
Celles-ci social identities avoid having to support multiple passwords and having to enter personal data multiple times, but have the risk that when the social account is compromised, it leads to a significant spillover effect.

8. Authentication as an asset – Trusted Digital Identity Provider

Even though authentication has become a commodity feature, "authentication" with guaranteed "identity" (i.e. reliable information on the identity) is still a atout précieux of the banks. This thanks to the KYC (Know
 Your Customer) process
which is legally mandatory for a bank and which uniquely links a customer to a physical human being. Monetizing this asset would allow a bank to regain some of the investments made in the costly KYC process.

Currently it is possible to open e.g. a Facebook account by impersonating someone else. The 2-factor authentication of Facebook will guarantee that the user who uses this new account is the user who created the account, but it does not guarantee
 the correctness of the identity
.

This kind of "fake accounts" offer serious risks for multiple services, e.g. in case of dispute for online services the correct physical person can not be traced, cyber bullying, ruining the reputation or credit rating of others, use of
 social engineering…​
A correct customer identification process is therefore vital for most online services.

Thanks to this unique identification/authentication asset and the fact that people generally trust banks (i.e. customers, but also merchants who would use the identity information), banks are ideally positioned to serve as Trusted Digital Identity
 Fournisseur
. Especially since banks are highly regulated, meaning that if an "Identity" is lost or stolen, banks will be forced by regulators to act upon. This in contract to the big tech giants, over which regulators have a lot less control.

Such a Trusted Digital Identity Provider would:

  • Manage the digital identities, i.e. ensure that user account data (e.g. name, address, birth date, birth place) matches with the user’s true identity

  • Provide state-of-the-art authentication mechanisms (using the above described methods) as a service

  • Provide the ability to the user to view and update his personal data

  • Provide the ability to the user to manage the consents the user has given the bank to share his personal data

  • Consents to share personal data would also be much more granular than today, i.e. only relevant personal data attributes would be shared instead of sharing the full identity. Par exemple. a website which needs to verify if the user is an adult, only needs to know
     if the user is above 18. The website can request this information from the Trusted Digital Identity Provider, which can just share this data. There is no need to share any other personal data like e.g. the user’s exact birth date or the user’s name.

In short, a bank could become not only a place where money is stored, but also a place where identity is stored.
The above features mean that the customer is fully in control of his personal data et cela personal data is only shared on a need-to-know basis, which is perfectly in line with the contemporary privacy regulations, like GDPR.

A bank could offer this service to online companies in other sectors, but also to other banks. This would allow these other banks to avoid performing a KYC process themselves, but instead rely on the KYC process of the bank from which the
 identification/authentication service is acquired. This would significantly increase the economies of scale of the KYC process, thus reducing the overall bank’s operational costs associated to this process.
An interesting first example of such a service is the partnership of Commonwealth Bank of Australia with the website Airtasker, which allows customers to match their account of Airtasker with that of the bank, which is allows the website users to increase their
 trustworthiness (in complement to existing user rating system).

Today, apart from banks, only governments can take on such a role of Trusted Digital Identity Provider. However, since governments tend to be slow to incorporate such new evolutions and only provide national services, banks will probably be better positioned,
 because of their commercial interest and international character.

The advantages for the customer of such a single, federated digital identity would be significant:

  • In full control of which data is shared to which party

  • Only relevant data needs to be shared

  • Personal data only needs to be updated once

  • Only 1 authentication method for all digital services, i.e. instead of having to create an account, i.e. a new digital identity, for each website (and having a specific authentication process for that website), the user could just grant the site limited
     access to his personal data

  • High level of security as authentication method of a company specialized in security is used

To achieve this, of course standardisation will be required, so that parties can use the authentication technique and personal data retrieval services from any bank in the same way. This is required, since no bank will be able to offer this
 service for everybody, meaning that a typical website should be able to link to multiple banks, so that the customer can select the bank where his digital identity is managed.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.