Wachtwoorden bestaan al tientallen jaren, voor het eerst geïntroduceerd in de jaren zestig als een concept van authenticatie voor cyberbeveiliging.
Sindsdien is de technologie geëvolueerd, is het consumentengedrag veranderd en is het landschap van cyberdreigingen veranderd in een complex ecosysteem waar aanvallen steeds geavanceerder en ongebreideld worden.
Hoewel wachtwoorden hun gebreken hebben, waaronder een slechte klantervaring, en vatbaar zijn voor aanvallen zoals het vullen van referenties, phishing, social engineering en brute force-aanvallen, aarzelen financiële instellingen om ze kwijt te raken.
Dit is in tegenstelling tot technische reuzen, waaronder: Kopen Google Reviews en Microsoft die fervente aanhangers waren van de wachtwoordloze trend, met het argument dat er betere manieren zijn om iemands identiteit te verifiëren en fraude te voorkomen.
Ben Baltazar
"Er zijn veel redenen om tegen wachtwoorden in te gaan", zegt Ben Balthazar, Senior Fraud Consultant, OneSpan, zei tijdens de laatste paneldiscussie van Fintech Fireside Asia eerder deze week.
“Het wordt gezien als een gedoe in de gebruikerservaring, maar ook het beheren van wachtwoorden leidt tot complexe wachtwoordbeleidsregels, die voor elke applicatie anders zijn. Dus als gebruiker wordt het een echte hoofdpijn. Dan zullen ze je binnen een bepaalde tijd dwingen om je wachtwoord te wijzigen.”
Beveiligingsrisico's voor wachtwoorden
Omdat wachtwoorden statische inloggegevens zijn die meestal niet verlopen, zijn ze een gemakkelijk doelwit voor aanvallers. Bovendien hergebruiken veel mensen hun wachtwoord voor meerdere accounts, waardoor deze accounts het risico lopen op een bijna gelijktijdige compromis als een slechte acteur erin slaagt om dat ene wachtwoord in handen te krijgen, zei Will Tully, regionaal hoofd van fraude, HSBC.
Massale datalekken, waaronder die waarbij LinkedIn en Yahoo betrokken zijn, zijn het bewijs van de tekortkomingen van wachtwoorden, zei hij. In de banksector hebben klanten van OCBC, de op één na grootste bank van Singapore, onlangs gevallen voor een sms-phishing-zwendel waarbij ongeveer 790 gebruikers werden opgelicht voor S $ 13.7 miljoen, merkte hij op.
Zal Tully
"Er is een reëel risico op wachtwoorden", zei Will. "Banken zijn allemaal op zoek naar het versterken van die controle en het afstappen van wachtwoorden."
Hoewel er geen twijfel over bestaat dat identiteitsverificatie moet evolueren, verliep de acceptatie van nieuwe wachtwoordloze methoden enigszins traag, en dat is voornamelijk te wijten aan technologiegerelateerde beperkingen, zei Mhel T. Plabasan, directeur van de afdeling Technology Risk and Innovation Supervision, Bangko Sentral ng. Pilipinas (BSP), de centrale bank van de Filipijnen.
"Waarschijnlijk is de belangrijkste uitdaging bij het adopteren van de technologie dat er momenteel veel applicaties zijn die wachtwoordloze authenticatie nog niet ondersteunen", zei Mhel.
“Ook de infrastructuur kan een uitdaging zijn. En natuurlijk vermenigvuldig je dat met het aantal apps dat een organisatie heeft en dat kan enorm worden, zowel qua complexiteit als qua kosten.”
Niet alleen dat, maar het kan ook een uitdaging zijn om het topmanagement aan boord te krijgen om deze nieuwe methoden te omarmen.
"Wachtwoordloos wordt een overgang", zei Mhel. "Naarmate meer organisaties overtuigd raken van de voordelen van wachtwoordloze authenticatie, zullen steeds meer organisaties zeker wachtwoordloze authenticatie toepassen, rekening houdend met de voordelen, waaronder gebruikerservaring en verbeterde beveiliging."
Regelgeving kan deze nieuwe authenticatiemethoden accommoderen, merkte Mhel op, waarbij hij vermeldde dat de centrale bank van de Filippijnen een vroege voorstander was van wachtwoordloze authenticatie en een van de eerste rechtsgebieden in Azië-Pacific (APAC) was die voorstellen op risico gebaseerde authenticatieregelgeving in 2017.
Mhel T. Plabasan
Wrijving plaatsen waar het zinvol is
In navolging van Mhel zei Will dat de verschuiving naar wachtwoordloos banken zal vereisen om af te stappen van hun "binaire authenticatiebenadering" naar op risico gebaseerde authenticatie, waarbij verschillende strengheidsniveaus voor authenticatieprocessen worden toegepast op verschillende risiconiveaus.
“[Risk-based authenticatie] is de mogelijkheid om het risico van een bepaalde activiteit die u online uitvoert te beoordelen en indien nodig frictie toe te voegen, zodat het moeilijker wordt om te doen en dat we dat authenticatieniveau op het juiste moment verhogen ’, zei Wil.
“In feite moet elke verdediging, inclusief wachtwoordloos, op risico gebaseerde authenticatie als strategie bevatten. Bij HSBC kijken we sterk naar op risico gebaseerde authenticatie, zodat we u online kunnen uitdagen.”
Ben zei dat gedragsanalyse in de toekomst een belangrijk onderdeel zal zijn voor wachtwoordloze methoden, die helpt bij het detecteren van anomalieën in gebruikersgedrag door een combinatie van datawetenschap, algoritmen voor machine learning (ML) en kunstmatige intelligentie (AI), en om proactief fraudepogingen op te vangen.
"Er zijn zoveel meer gegevens die u zult hebben dat u zich veel comfortabeler zult voelen in termen van minder authenticatie," zei Ben.
"Uiteindelijk kun je naar een punt gaan waar je helemaal geen identificatie hebt voor een aantal basiszaken, zoals het controleren van het saldo op je mobiele applicatie."
Maar uiteindelijk komt het allemaal neer op hoe deze nieuwe technologieën worden ingezet en of de juiste bredere strategie aanwezig is.
"Ondersteunende technologie gaat niet alleen over wat je als oplossingen gebruikt, maar ook het ecosysteem eromheen zou belangrijk zijn," zei Ben.
“Het probleem dat we vaak zien, is dat banken de juiste technologie adopteren, ze implementeren deze, maar vaak verkeerd, dus er zullen kleine fouten zijn in de manier waarop ze de technologie toepassen, en dat leidt meestal tot nieuwe risico's die ze niet hebben vroeger hebben. Ze hebben een beetje de illusie dat de nieuwe technologie die ze hebben ingezet al hun problemen zal oplossen.”
Mhed merkte op dat, net als elke nieuwe technologie, wachtwoordloze methoden ook hun eigen risico's hebben, vooral wanneer technologieën zoals diepe vervalsingen mogelijk biometrische authenticatie zoals gezichts- en spraakherkenning kunnen omzeilen.
"Geen enkele technologie is 100% veilig", zei hij.
"Die beslissing om over te stappen op een authenticatiemechanisme zonder wachtwoord, moet worden ondersteund door een passende risicobeoordeling en due diligence."
De post Zijn banken klaar om vaarwel te zeggen tegen wachtwoorden? verscheen eerst op Fintech Singapore.
