Come migliorare la sicurezza dell’autenticazione finanziaria

Come migliorare l'autenticazione finanziaria

,

Sebbene le organizzazioni di servizi finanziari siano un obiettivo perennemente preferito dagli aggressori, i livelli di minacce informatiche sono aumentati in modo significativo negli ultimi anni. Nonostante i massicci investimenti in sicurezza, il settore rimane pericolosamente esposto, in particolare quando si tratta di vulnerabilità di Identity and Access Management (IAM). Statistiche e tendenze recenti mostrano quanto sia diventato grave:

Problemi critici di sicurezza informatica che devono affrontare i servizi finanziari

I servizi finanziari e, in particolare, i loro sistemi di autenticazione, corrono rischi crescenti per diversi motivi.

Facilità di cracking dell’autenticazione legacy

L’autenticazione legacy è altamente vulnerabile phishing, attacchi di credential stuffing e password spraying. 2FA e MFA tradizionali sono più un fastidio che un ostacolo per gli hacker. La maggior parte dei sistemi utilizza una qualche forma di segreto condiviso come fattore di autenticazione, il che significa che possono sempre essere truffati, rubati o intercettati. Una volta superate le sfide di autenticazione, gli aggressori possono intensificarle attacchi di account takeover (ATO). nella frode del fornitore o dell’amministratore delegato. Possono anche utilizzare i dati rubati tramite ATO per aumentare il successo delle frodi bancarie telefoniche e degli attacchi di pagamento push autorizzato (APP), che costano alle istituzioni bancarie e ai loro clienti decine di miliardi ogni anno.

La raffinatezza degli attacchi

Multiplo fornitori di phishing-as-a-service (PhaaS). noleggia sofisticati sistemi e interfacce per eseguire attacchi di autenticazione. Questi consentono agli aggressori poco qualificati di pagare una piccola commissione e di ottenere tutti gli strumenti necessari per eseguire e monitorare gli attacchi di massa ai clienti dei servizi finanziari. Inoltre, questi kit di attacco incorporano diversi livelli di attacco, inclusi sbattere e il caricamento di dati personali pre-raccolti, per aumentare le possibilità di successo e indirizzare in modo specifico gli utenti più vulnerabili. Alcuni kit includono Bombardamento dell’AMF servizi per aggirare le app di autenticazione MFA.

Sistemi e processi multipli e disparati

Molte organizzazioni di servizi finanziari utilizzano più IdP, in particolare quelli che sono cresciuti attraverso acquisizioni. Ognuno di questi può avere un processo di autenticazione diverso, con diversi livelli di sicurezza ma anche esperienze diverse per l’utente. Ciò rende gli utenti più propensi a cadere nelle esche di attacco e anche più propensi a utilizzare soluzioni alternative non sicure, come tenere le password su note adesive.

Regolamento rigoroso

Sebbene le leggi sulla protezione dei dati come il GDPR e il CCPA della California si applichino a tutte le società, l’onere normativo è ancora più pesante per le società di servizi finanziari con una legislazione aggiuntiva come quella di New York NYDFS parte 500guida stabilito dalla FFIEC e Requisiti PSD2. La possibilità di sanzioni pecuniarie e la pubblicazione delle violazioni rappresentano un rischio considerevole per le società di servizi finanziari e le obbligano a rafforzare le proprie procedure di autenticazione.

Fiducia dei consumatori

L’attuale ondata di attività fraudolente ha un impatto attivo sulle relazioni delle aziende con i propri clienti. Lo studio sulla sicurezza dell’autenticazione nel settore finanziario menzionato in precedenza ha rilevato che il 32% delle organizzazioni di servizi finanziari che hanno subito una violazione hanno perso clienti a causa di un concorrente. È anche un grosso ostacolo nel passaggio dei clienti al mobile e all’e-banking, con 74% dei clienti che non utilizzano quei servizi che affermano la sicurezza come la loro principale preoccupazione.

Miglioramento della sicurezza dell’autenticazione finanziaria

Il filo conduttore di tutti questi problemi è la debolezza della sicurezza dell’autenticazione. Le normative specifiche per i servizi finanziari sono state chiare sulla necessità dell’AMF come sistema di autenticazione minimo per dipendenti e clienti. Qui vedremo come le società di servizi finanziari possono migliorare la sicurezza dell’autenticazione.

  1. Autenticazione a più fattori (MFA): Come accennato, l’AMF è passata dalla migliore pratica allo standard di autenticazione minimo previsto. Tuttavia, alcuni processi MFA, come Password monouso per SMS (OTP), sono già stati aggirati tramite messaggi e registrazioni telefoniche specifici volti a indurre gli utenti a consegnare queste OTP. Spingere la fatica può anche indurre gli utenti ad accettare le notifiche push anche quando non stanno effettuando un accesso.
  2. Autenticazione senza password per le finanze: una soluzione fondamentale per rimuovere le vulnerabilità intrinseche dei segreti condivisi e rafforzare l’autenticazione consiste nell’eliminare completamente le password. L’autenticazione senza password per il settore finanziario crea un processo di autenticazione resistente al phishing che protegge clienti e dipendenti dalla stragrande maggioranza dei tentativi di attacco.
  3. Fast Identity Online (FIDO): Il timore di molte organizzazioni nel passaggio all’autenticazione senza password per le finanze è che vi sia un significativo compromesso tra sicurezza ed esperienza utente. Fast Identity Online (FIDO) è un sistema di autenticazione a standard aperto creato da un’alleanza di aziende tecnologiche leader, organizzazioni finanziarie e organismi di regolamentazione come il NIST. Gli standard FIDO sono stati sviluppati tenendo conto della sicurezza, dell’esperienza utente e della compatibilità. Ciò viene fatto sfruttando gli utenti o i dispositivi standard per soddisfare i fattori biometrici e di possesso dell’autenticazione.
  4. Autenticazione avanzata per desktop e applicazioni: La maggior parte dei sistemi di autenticazione e autorizzazione si concentra sul controllo dell’accesso ai sistemi e ai servizi aziendali. L’accesso al laptop, desktop o workstation utilizzati per accedere a tali risorse aziendali è spesso protetto solo con una password o un PIN. Organizzazioni che trascurano MFA nel desktop stanno lasciando la porta principale delle loro risorse IT sbloccate. I team di sicurezza possono rafforzare in modo significativo le difese complessive abilitando l’autenticazione a più fattori per gli accessi a workstation, server, VPN e VDI.
  5. Crittografia a chiave pubblica: Alla fine della giornata, le password e i segreti condivisi sono vulnerabili in quanto possono essere oggetto di phishing da parte degli utenti o rubati a causa di violazioni dei dati o avversario-in-the-middle attacchi. L’autenticazione sicura senza password per le finanze utilizza una crittografia a chiave pubblica avanzata per verificare l’identità senza la necessità di condividere informazioni personali o segreti. A un utente viene rilasciata una coppia di chiavi pubblica-privata, registrando la chiave pubblica con il proprio provider di autenticazione. Quando viene richiesto l’autenticazione, l’utente sblocca la propria chiave privata sul proprio dispositivo per firmare e autenticarsi. Poiché la chiave privata viene archiviata localmente e non viene mai condivisa, riduce notevolmente la possibilità che venga rubata.

Autenticazione sicura senza password per le finanze con HYPR

La quantità, la sofisticatezza e la gravità delle minacce alla sicurezza informatica, in particolare per quanto riguarda l’autenticazione, pongono sfide importanti per il settore dei servizi finanziari. HYPR è profondamente consapevole delle lotte del settore finanziario per proteggere clienti e dipendenti, rispettare le normative e ridurre i rischi organizzativi.

Fornendo una soluzione estremamente flessibile basata su FIDO, HYPR consente l’autenticazione senza password per le finanze che dipendenti e clienti preferiscono utilizzare. La nostra soluzione consente un accesso desktop-cloud rapido e senza interruzioni, elimina le lacune di sicurezza e crea un sistema di autenticazione resistente al phishing. Per saperne di più sullo stato dell’autenticazione nel settore finanziario e su come HYPR può aiutare, scarica il rapporto oro programma una demo personalizzata.

Nuovo invito all'azione

*** Questo è un blog sindacato di Security Bloggers Network da HYPR Blog scritto da HYPR Team. Leggi il post originale su: https://blog.hypr.com/how-to-combat-password-fatigue-0

Leave a Comment

Your email address will not be published. Required fields are marked *