بانکها نمیخواهند با اضافه کردن یک مانع ورودی سهولت استفاده از خدمات بانکداری آنلاین را به خطر بیندازند. هیچ بانکی نمیخواهد نخستین موسسهای باشد که ورود مشتریان به حسابهای بانکیشان را مشکل تر میکند.
به گزارش گروه فناوری خبرگزاری دانا(داناخبر)، یک حقیقت انکار ناپذیر درباره امنیت شبکه این است که هیچ سیستمی در صنایع مختلف کاملا ایمن نیست. دلیل این امر یک نقطهضعف جهانی است: کاربر تا زمانی که مردم اصرار دارند ایمیلهای فیشینگ را باز کنند؛ کلمات رمز ضعیف انتخاب میکنند و دستگاههای کامپیوتر خود را در برابر ویروسها حمایت نمیکنند؛ هکرها راهی برای ورود مییابند.
بنابراین نوآوریهای جدید در بخش امنیت آنلاین روی راهحلهایی متمرکزشدهاند که مشتریان را در برابر خودشان حمایت کنند.
یکی از این راهحلها، شیوه احراز هویت دو عاملی است که هدف آن حمایت از مشتری حتی در هنگامی است که اطلاعات ورود به سیستم دزدیدهشده است. این روش به طور کلی شامل فرستادن رمز دوم و موقت به موبایل فرد است؛ با این فرض که دزد کلمه رمز هرکسی که باشد، به تلفن همراه مشتری دسترسی ندارد.
در سالهای اخیر فیسبوک و گوگل هر دو سیستمهای دو عاملی را اجرا میکنند. بانکها نیز باید از همین روند پیروی کنند.
موسسه جاولین استراتژیاند ریسرچ که در حوزه ارایه مشاوره برای خدمات مالی فعالیت میکند؛ تحقیقی را میان ۲۵ موسسه مالی برتر آمریکایی انجام داده است. نتایج این تحقیق نشان میدهد فقط ۸ موسسه به کاربر اجازه میدهند فرایند احراز هویت مخصوصی را در تلفنهای همراهشان اجرا کنند.
این فهرست شامل موسسات بزرگی مانند بانک آمریکا، جی پی مورگان، پی ان سی و چیس است اما هنوز ۱۷ بانک دیگر این فرایند را عملی نکردهاند مانند کاپیتال وان، اچ اس بی سی و تی دی بانک.
بانکهایی که احراز هویت دو مرحلهای را به مشتریان ارایه نمیکنند؛ معمولا سعی میکنند هویت مشتری با پاسخ دادن به سوالات امنیتی احراز کنند که خود وی هنگام افتتاح حساب بانکی در اختیار بانک قرار داده است اما این سوالات (از جمله نام مادر و نام حیوان مورد علاقه) از سوی کارشناسان مورد انتقاد قرار گرفتهاند زیرا در عصر مبادله اطلاعات در رسانههای اجتماعی چندان موثر نیستند.
ردیابهای حرکتی در کیف پول!
اگر خبر بد آن است که بسیاری از بانکها در زمینه جلوگیری از دسترسی به حساب بانکی، با زمانه خود پیش نمی روند؛ خبر خوش آن است که فرایندهای امنیتی ورود به سیستم تنها خطوط دفاع در برابر کلاهبرداری نیستند.
گاردین نیز همانند فرآیندی که صادرکنندگان کارت اعتباری برای ردیابی کلاهبرداری از کارت به کار می برند؛ پروفایلی فراهم کرده است که در آن توضیح میدهد به طور معمول چگونه مشتریان از حسابهای آنلاین بانک خود استفاده میکنند. هنگامی که از حساب بانکی به شیوهای غیرمعمول استفاده شود؛ موسسه میتواند آن را ردیابی کند.
در اینجاست که زنگهای هشدار به صدا درمیآیند؛ این هشدارها برای فرایندهای مختلفی صادر میشود؛ از تبادلات عظیم تا ورود به بخشی از سایت بانکی میشوند که فرد هرگز به آنها وارد نشده بوده است.
حتی اگر الگوریتمها سارقان را از دزدیدن پول نقد مشتری منصرف نکنند؛ مشتریان هنوز هم میتوانند از خود دفاع کنند. طبق قوانین فدرال در اغلب پروندهها مشتریان مسوول تبادلات کلاهبردارانه در حسابهای بانکی خود نیستند.
با این وجود اگر فردی حساب مشتری را خالی کند؛ او باید یک هفته یا بیشتر منتظر بماند تا سرمایهاش مسترد شود. این امر یک اختلال بزرگ در زندگی مشتری محسوب میشود. از آنجا که موسسات مالی هزینه کلاهبرداری را تقبل میکنند؛ باید انگیزهای شفاف برای جلوگیری از سرقت داشته باشند.
بنابراین به سوال اصلی برمیگردیم؛ اگر فیسبوک و جی میل میتوانند فرایند احراز هویت دومرحلهای را به کاربرانشان ارایه کنند؛ چرا برخی از بانکهای بزرگ که سرمایه زیادی در اختیاردارند از این روند پیروی نمیکنند؟
سهولت استفاده در برابر امنیت
شاید یکی از دلایل این امر آن است که بانکها نمیخواهند با اضافه کردن یک مانع ورودی سهولت استفاده از خدمات بانکداری آنلاین را به خطر بیندازند. هیچ بانکی نمیخواهد نخستین موسسهای باشد که ورود مشتریان به حسابهای بانکیشان را مشکل تر میکند.
حتی بانکهایی که فرایند احراز هویت دو مرحلهای را ارایه میکنند؛ از آن به عنوان پیشفرض در خدمات خود استفاده کرده اند. بر اساس گزارش امنیتی موسسه گاردین حتی بانک آمریکا بهترین شیوه امنیتی را فراهم میکند پیش از آنکه این ویژگی را فعال کند؛ به مدت زمانی نیاز دارد.
بسیاری از کاربران از لحاظ امنیتی هوشمند هستند؛ افرادی که به مرحله امنیتی بالاتری نیاز دارند (افراد بیدقتی که کلمات رمز را به صورت تکراری استفاده میکنند و دستگاههای کامپیوتر خود را بدون ایمنی رها میکنند) با این روش حداقل افزوده را به کار می برند. اگر بانکها استفاده از فرایند دو مرحله را به انتخاب مشتری واگذار کنند؛ افرادی که احساس میکنند به این فرایند نیازی ندارند به گروهی تبدیل میشوند که از آن استفاده میکنند.
بنابراین نوآوریهای جدید در بخش امنیت آنلاین روی راهحلهایی متمرکزشدهاند که مشتریان را در برابر خودشان حمایت کنند.
یکی از این راهحلها، شیوه احراز هویت دو عاملی است که هدف آن حمایت از مشتری حتی در هنگامی است که اطلاعات ورود به سیستم دزدیدهشده است. این روش به طور کلی شامل فرستادن رمز دوم و موقت به موبایل فرد است؛ با این فرض که دزد کلمه رمز هرکسی که باشد، به تلفن همراه مشتری دسترسی ندارد.
در سالهای اخیر فیسبوک و گوگل هر دو سیستمهای دو عاملی را اجرا میکنند. بانکها نیز باید از همین روند پیروی کنند.
موسسه جاولین استراتژیاند ریسرچ که در حوزه ارایه مشاوره برای خدمات مالی فعالیت میکند؛ تحقیقی را میان ۲۵ موسسه مالی برتر آمریکایی انجام داده است. نتایج این تحقیق نشان میدهد فقط ۸ موسسه به کاربر اجازه میدهند فرایند احراز هویت مخصوصی را در تلفنهای همراهشان اجرا کنند.
این فهرست شامل موسسات بزرگی مانند بانک آمریکا، جی پی مورگان، پی ان سی و چیس است اما هنوز ۱۷ بانک دیگر این فرایند را عملی نکردهاند مانند کاپیتال وان، اچ اس بی سی و تی دی بانک.
بانکهایی که احراز هویت دو مرحلهای را به مشتریان ارایه نمیکنند؛ معمولا سعی میکنند هویت مشتری با پاسخ دادن به سوالات امنیتی احراز کنند که خود وی هنگام افتتاح حساب بانکی در اختیار بانک قرار داده است اما این سوالات (از جمله نام مادر و نام حیوان مورد علاقه) از سوی کارشناسان مورد انتقاد قرار گرفتهاند زیرا در عصر مبادله اطلاعات در رسانههای اجتماعی چندان موثر نیستند.
ردیابهای حرکتی در کیف پول!
اگر خبر بد آن است که بسیاری از بانکها در زمینه جلوگیری از دسترسی به حساب بانکی، با زمانه خود پیش نمی روند؛ خبر خوش آن است که فرایندهای امنیتی ورود به سیستم تنها خطوط دفاع در برابر کلاهبرداری نیستند.
گاردین نیز همانند فرآیندی که صادرکنندگان کارت اعتباری برای ردیابی کلاهبرداری از کارت به کار می برند؛ پروفایلی فراهم کرده است که در آن توضیح میدهد به طور معمول چگونه مشتریان از حسابهای آنلاین بانک خود استفاده میکنند. هنگامی که از حساب بانکی به شیوهای غیرمعمول استفاده شود؛ موسسه میتواند آن را ردیابی کند.
در اینجاست که زنگهای هشدار به صدا درمیآیند؛ این هشدارها برای فرایندهای مختلفی صادر میشود؛ از تبادلات عظیم تا ورود به بخشی از سایت بانکی میشوند که فرد هرگز به آنها وارد نشده بوده است.
حتی اگر الگوریتمها سارقان را از دزدیدن پول نقد مشتری منصرف نکنند؛ مشتریان هنوز هم میتوانند از خود دفاع کنند. طبق قوانین فدرال در اغلب پروندهها مشتریان مسوول تبادلات کلاهبردارانه در حسابهای بانکی خود نیستند.
با این وجود اگر فردی حساب مشتری را خالی کند؛ او باید یک هفته یا بیشتر منتظر بماند تا سرمایهاش مسترد شود. این امر یک اختلال بزرگ در زندگی مشتری محسوب میشود. از آنجا که موسسات مالی هزینه کلاهبرداری را تقبل میکنند؛ باید انگیزهای شفاف برای جلوگیری از سرقت داشته باشند.
بنابراین به سوال اصلی برمیگردیم؛ اگر فیسبوک و جی میل میتوانند فرایند احراز هویت دومرحلهای را به کاربرانشان ارایه کنند؛ چرا برخی از بانکهای بزرگ که سرمایه زیادی در اختیاردارند از این روند پیروی نمیکنند؟
سهولت استفاده در برابر امنیت
شاید یکی از دلایل این امر آن است که بانکها نمیخواهند با اضافه کردن یک مانع ورودی سهولت استفاده از خدمات بانکداری آنلاین را به خطر بیندازند. هیچ بانکی نمیخواهد نخستین موسسهای باشد که ورود مشتریان به حسابهای بانکیشان را مشکل تر میکند.
حتی بانکهایی که فرایند احراز هویت دو مرحلهای را ارایه میکنند؛ از آن به عنوان پیشفرض در خدمات خود استفاده کرده اند. بر اساس گزارش امنیتی موسسه گاردین حتی بانک آمریکا بهترین شیوه امنیتی را فراهم میکند پیش از آنکه این ویژگی را فعال کند؛ به مدت زمانی نیاز دارد.
بسیاری از کاربران از لحاظ امنیتی هوشمند هستند؛ افرادی که به مرحله امنیتی بالاتری نیاز دارند (افراد بیدقتی که کلمات رمز را به صورت تکراری استفاده میکنند و دستگاههای کامپیوتر خود را بدون ایمنی رها میکنند) با این روش حداقل افزوده را به کار می برند. اگر بانکها استفاده از فرایند دو مرحله را به انتخاب مشتری واگذار کنند؛ افرادی که احساس میکنند به این فرایند نیازی ندارند به گروهی تبدیل میشوند که از آن استفاده میکنند.
