Reliance-autentisering
Reliance-autentisering är en del av den förtroendebaserade identitetstillskrivningsprocessen där en andra enhet förlitar sig på de autentiseringsprocesser som införts av en första enhet. Den andra enheten skapar ytterligare ett element som är unikt och specifikt för dess syfte, som endast kan hämtas eller nås av autentiseringsprocesserna för den första enheten som först har uppfyllts.
Reliance-autentisering kan uppnås genom att en eller flera tokens med slumpmässiga egenskaper överförs till ett säkert område som kontrolleras av den första enheten, där ett sådant säkert område endast är tillgängligt för den person som är behörig att använda kontot. Det säkra området kan vara en onlinebankportal, telefonbanksystem eller mobilbankapplikation.
Poletten är ofta i form av en eller flera debet- eller krediter till ett finansiellt konto, där debiteringens eller krediternas numeriska värden bildar token, vars numeriska värde ska bekräftas av kontoinnehavaren.
Tokenen hämtas genom att kortinnehavaren kommer åt ett säkert område från den första enhetens säkra område, vilket är skyddat och tillgängligt endast genom att tillfredsställa den första enhetens autentiseringsmedel. När det gäller finansiella tjänster inkluderar autentisering för att komma åt det säkra området normalt flera faktorer och i SEPA skulle sannolikt innebära stark autentisering .
Sändningen och kravet på att hämta token lägger till ytterligare en utmaning och svarsfaktor till den övergripande autentiseringsprocessen när den betraktas från den andra partens synvinkel, som genererar och överför token.
Token kan genereras av den andra parten dynamiskt och kan därmed fungera som ett engångslösenord .
Reliance-autentiseringsmetoden har särskild tillämpning med finansiella instrument som kreditkort , e-mandat och autogirotransaktioner , varvid en person kan anstifta en transaktion på ett finansiellt instrument, men det finansiella instrumentet verifieras inte som tillhör den personen förrän den personen bekräftar värdet på token.
Tillförlitlighetsmetoden inkluderar ofta ett out-of-band- svarsorgan, när väl tokens har hämtats från det säkra området.
Hur det används
Reliance-autentisering använder flerstegsingångar för att säkerställa att användaren inte är en bedrägeri. Några exempel inkluderar:
- När du använder ett kreditkort, sveper en magnetremsa eller sätter in ett chip följt av en signatur (i vissa fall tas de fyra sista siffrorna i betalkortsnumret).
- Att svara på en CAPTCHA- fråga för att bevisa att du inte är en robot.
- Säkerhetsnycklar
- Verifiera ett onlinekonto via SMS eller e-post.
- Tidsbaserad engångslösenordsalgoritm .
Rättslig grund
Införandet av stark kundautentisering för onlinebetalningstransaktioner inom EU kopplar nu en verifierad person till ett konto där en sådan person har identifierats i enlighet med lagstadgade krav innan kontot öppnades. Reliance-autentisering använder redan existerande konton för att piggybacka ytterligare tjänster på dessa konton, förutsatt att den ursprungliga källan är "pålitlig".
Begreppet tillförlitlighet är ett lagligt begrepp som härrör från olika lagstiftning mot penningtvätt (AML)/finansiering mot terrorism (CTF) i USA, EU28, Australien, Singapore och Nya Zeeland där andra parter kan lita på kundkännedomsprocessen av den första parten, där den första parten är en finansiell institution.
I den australiensiska lagstiftningen baseras "beroende" på avsnitt 38 i lagen om anti-penningtvätt och finansiering av terrorism mot terrorism 2006 (Cth).
I Europeiska kommissionens förslag till Europaparlamentets och rådets direktiv om förhindrande av användning av det finansiella systemet för penningtvätt och finansiering av terrorism grundas åberopandet på artikel 11.1 a).
Reliance i Storbritannien har en mycket specifik innebörd och hänför sig till processen enligt regel 17 i penningtvättsförordningen 2007 . "Reliance" för AML-ändamål och "reliance-autentisering" är inte samma sak, även om båda använder liknande koncept.
Federal Financial Institutions Examination Council of the United States of America ( FFIEC ) utfärdade "Authentication in an Internet Banking Environment" daterad oktober 2005. Reliance-autentisering beskrivs i det sista stycket på sidan 14.
Fördelar
Fördelarna med reliance-autentiseringsmetoder är:
- när det används i samband med finansiella tjänster har kundens identitet verifierats i enlighet med AML/CTF-lagliga krav när det ursprungliga kontot har öppnats.
- de återanvänder befintlig säkerhet som redan upprätthålls (t.ex. av finansinstitut).
- de använder välbekanta och pålitliga källor. Att komma åt ett finansiellt konto för att hämta tokens (som antingen är krediter eller debiteringar) är en bekant process för kontoinnehavaren och är ofta tillgänglig via en mängd olika sätt, inklusive mobil, online, telefonbank och bankomat.
- båda processerna använder en in-band-metod för att överföra tokens, med en out-of-band-svarsmekanism där kontoinnehavaren knappar in tokenvärdet på nytt till en ny mobil, webbsida eller app. Detta dämpar man i mitten och pojke i webbläsarens attacker med avseende på token som avlyssnas.
- de är en mjukvarulösning som inte kräver några extra hårda tokens eller komplexa integrationer. Tokens överförs som en del av det finansiella nätverket, utan behov av några dedikerade nya nätverk.
- att de kan genomföras utan inblandning av det kontoutfärdande institutet.
Nackdelar
Nackdelarna med reliance-autentiseringsmetoder är:
- beroendet av billiga autentiseringsmetoder som datorchips, lockar hackare att stjäla information.
- avsaknaden av effektiva verktyg för att övervaka bedrägerier, särskilt efter övergången från magnetremsor till datorchips.
- extra tid för administratörer att ladda upp ytterligare programvara och användare att mata in sin information.
- dess oförmåga att stödja mobila enheter.
- dålig lösenordspraxis tillåter bedrägerier att stjäla information från flera plattformar.