Konsumen Selesai Dengan Kata Sandi, Siap untuk Otentikasi yang Lebih Inovatif – CISO yang ingin meningkatkan prosedur autentikasi yang dihadapi pelanggan mereka untuk menggagalkan serangan siber harus menempuh jalur yang baik.
Konsumen Selesai Dengan Kata Sandi, Siap untuk Otentikasi yang Lebih Inovatif
Baca Juga : Kredensial Digital Menggabungkan Privasi dan Keamanan
idecosystem – Anda ingin metode ini memberikan keamanan yang ketat tanpa terlalu rumit, membingungkan, atau memberatkan pengguna akhir. Anda juga harus memperhatikan masalah privasi, terutama dalam hal pendekatan seperti pertanyaan tantangan atau pengenalan wajah.
Memilih metode otentikasi yang paling tepat untuk pelanggan Anda adalah target yang bergerak karena sikap konsumen selalu berubah. Pandemi memiliki efek: konsumen dicegah dari belanja di dalam toko karena penguncian beralih ke ritel online dan tidak pernah melihat ke belakang. Para ahli mengatakan bahwa ketika konsumen menjadi lebih terbiasa dengan pembelian digital untuk hal-hal seperti bahan makanan, mereka juga menjadi lebih nyaman dengan bentuk perdagangan digital lainnya, seperti mobile banking atau dompet digital.
Namun, perbedaan demografis memang berlaku. Misalnya, konsumen di generasi “digital native” berharap dapat berpindah dengan mulus di antara semua perangkat mereka dan di berbagai platform seperti situs belanja, metode pembayaran, dan bank mereka, menurut sebuah studi yang dilakukan oleh PYMNTS.com dan Nok Nok Lab yang fokus pada industri perbankan. Pelanggan yang sangat terhubung ini lebih terbuka terhadap langkah-langkah keamanan inovatif seperti otentikasi tanpa kata sandi.
Satu hal yang dikenali oleh semua kelompok demografis: Kata sandi adalah metode otentikasi yang paling mengganggu dan menawarkan perlindungan paling sedikit. Konsumen menginginkan dan mengharapkan organisasi untuk beralih dari otentikasi berbasis kata sandi ke alternatif yang lebih modern seperti biometrik (sidik jari atau pengenalan wajah) otentikasi multifaktor (MFA), atau bahkan metode yang tidak terlihat oleh pengguna.
Keamanan menjadi prioritas utama konsumen
Menurut Experian’s 2021 Global Identity and Fraud Report , 55% responden mengatakan bahwa keamanan adalah prioritas utama mereka saat melakukan transaksi online. Ketika diminta oleh Experian untuk mengurutkan metode otentikasi berdasarkan tingkat keamanannya, 74% menyebutkan biometrik sebagai yang paling aman, diikuti oleh kode PIN yang dikirim ke perangkat seluler (72%), dan analitik perilaku (66%), teknik yang menggunakan secara pasif sinyal yang diamati dan tidak memerlukan tindakan oleh konsumen.
Experian menyimpulkan penelitiannya dengan cara ini: “Khususnya, kata sandi tidak mendapatkan tempat di tiga metode teratas untuk mengautentikasi identitas pelanggan, meskipun hampir setiap akun dan perangkat digital menyertakan semacam perlindungan kata sandi. Ini menunjukkan pergeseran baru dalam pemikiran konsumen yang menjauh dari ranah kata sandi.”
Laporan itu menambahkan, “Salah satu temuan kami yang paling signifikan adalah meningkatnya kenyamanan dan preferensi yang dimiliki konsumen untuk metode keamanan fisik dan berbasis perilaku—atau tak terlihat.” Data juga menunjukkan bahwa konsumen lebih bersedia “memiliki bisnis yang mengelola keamanan dan privasi mereka tanpa keterlibatan terbuka.”
Secara historis, organisasi menggunakan metode otentikasi yang mengandalkan tindakan pelanggan—menghafal kata sandi, menjawab pertanyaan tantangan, bolak-balik yang terkait dengan memasukkan nama pengguna/kata sandi, menerima kode PIN satu kali (mungkin pada perangkat yang berbeda jika Anda menggunakan komputer untuk melakukan transaksi dan kata sandi masuk ke telepon Anda), dan kemudian memasukkannya ke dalam bidang.
James Brodhurst, kepala Experian’s Identity and Fraud Practice di Eropa, Afrika, dan Timur Tengah, menambahkan, “Bisnis lebih dari sebelumnya perlu menyeimbangkan pencegahan penipuan dan pengalaman pelanggan yang lancar. Untungnya, banyak dari pemeriksaan yang diperlukan dapat dilakukan tanpa terlihat dan secara real-time saat mengarahkan pelanggan. Misalnya, menjalankan pemeriksaan konsistensi pada perangkat mereka atau penilaian biometrik perilaku pelanggan.”
Para peneliti PYMNTS sampai pada kesimpulan yang sama. Survei mereka terhadap lebih dari 2.000 konsumen dewasa menemukan keterputusan yang signifikan antara metode lama yang digunakan pelanggan untuk mengakses rekening bank mereka dan metode pilihan mereka.
Tiga perempat konsumen masih menggunakan nama pengguna/sandi, tetapi hanya 42% yang memilih metode tersebut. Dalam hal alternatif, 18% mengatakan mereka lebih suka menggunakan otentikasi berdasarkan kode PIN, 14% lainnya mengatakan mereka lebih suka otentikasi sidik jari saja, 11% hanya ingin pemindaian wajah, dan 13% mengatakan mereka lebih suka MFA.
Hasilnya: “Mengingat pergeseran preferensi konsumen, bisnis memiliki peluang untuk pendekatan baru terhadap keamanan, melapisi metode yang terlihat dan tidak terlihat. Dengan memanfaatkan data dan pengamatan yang dikumpulkan selama perjalanan pelanggan, perusahaan dapat memfasilitasi pengenalan dan otentikasi yang akurat pada setiap keputusan yang berbeda,” kata peneliti Experian.
Opsi otentikasi dievaluasi
Kata sandi: Pendekatan warisan
“Kata sandi telah menjadi sakit kepala yang konsisten bagi praktisi keamanan selama bertahun-tahun,” kata 451 Research dalam laporan Intelijen Pasar baru-baru ini di MFA . “Kelemahan keamanan yang melekat pada kata sandi bermanifestasi dalam gelombang peningkatan pelanggaran data terkait dengan pencurian kredensial.”
IDC mengatakannya dengan lebih blak-blakan dalam laporan MarketScape-nya, Otentikasi Lanjutan Seluruh Dunia untuk Keamanan Identitas 2021 : “Setiap anggota tim keamanan yang tidak mengetahui bahwa kredensial identitas yang disusupi adalah penyebab utama pelanggaran keamanan jaringan dan/atau kehilangan data. sebuah batu maya. Kata sandi adalah …. buruk sekali. ”
Intinya: Kata sandi adalah solusi lama, solusi lama, dan pelanggan siap untuk opsi yang lebih baik.
Kata sandi satu kali melalui SMS: Pendekatan warisan lainnya
Sering dipasangkan dengan nama pengguna/kata sandi, metode yang umum digunakan ini melibatkan pengiriman pesan SMS ke ponsel pengguna, yang berisi kata sandi satu kali. Namun, SMS bukanlah mode transportasi yang sangat aman dan NIST sekarang merekomendasikan penggunaan SMS sebagai faktor kedua. Panduan Pasar Gartner untuk Otentikasi Pengguna menambahkan bahwa metode out-of-band lama menggunakan SMS “relatif lemah.”
Biometrik: Teknologi yang waktunya telah tiba
Dengan otentikasi berbasis sidik jari yang menjadi fitur pada smartphone selama bertahun-tahun dan pengenalan wajah sebagai fitur standar pada iPhone, iPad, dan Microsoft Surfaces baru, konsumen semakin terbiasa dengan biometrik sebagai metode otentikasi.
Biometrik menawarkan banyak keuntungan sebagai pengganti password. Mereka cepat, dapat diandalkan, dan sulit untuk dipalsukan. Mereka tidak mengharuskan konsumen melakukan atau mengingat apa pun.
Satu-satunya kelemahan berkisar pada masalah privasi. Adalah satu hal jika konsumen menggunakan wajah mereka untuk membuka kunci ponsel mereka sendiri, tetapi memberikan data biometrik kepada pihak ketiga adalah hal lain, tidak peduli seberapa tepercaya dan tidak peduli seberapa besar mereka bersikeras bahwa data biometrik dilindungi dan dienkripsi.
Misalnya, dalam survei KPMG baru – baru ini , hanya 44% konsumen yang menganggap penggunaan pengenalan wajah untuk mengakses informasi keuangan mereka dapat diterima. Jadi, perusahaan yang menerapkan biometrik perlu melakukan upaya bersama untuk transparan tentang cara mereka menangani data biometrik.
Otentikasi multifaktor: Dua faktor lebih baik dari satu
Gartner memperkirakan bahwa pada tahun 2023, 60% perusahaan global besar akan menerapkan MFA, peningkatan yang signifikan dari hanya 10% saat ini. Gartner juga membedakan antara MFA lama, di mana salah satu bentuk identifikasi adalah nama pengguna/kata sandi, diikuti dengan metode kedua, baik pertanyaan tantangan atau kode PIN yang dikirim ke telepon atau email konsumen, dan MFA yang lebih canggih, yang menghilangkan kata sandi sama sekali. .
Salah satu metode otentikasi yang semakin populer adalah pemberitahuan push. Dengan teknologi push, pengguna menerima pemberitahuan di perangkat seluler mereka melalui aplikasi autentikator khusus. Pelanggan membuka aplikasi, memeriksa detail upaya autentikasi, dan harus mengonfirmasi permintaan verifikasi. Push mudah digunakan, efisien, dan berbiaya rendah. Satu-satunya kelemahan nyata tampaknya adalah bahwa beberapa pengguna mungkin tanpa sadar menekan tombol setuju tanpa melihat pemberitahuan, sehingga mereka akhirnya bisa menyetujui transaksi palsu. Gartner mengatakan bahwa mereka telah melihat peningkatan keinginan di pihak pelanggan untuk mengadopsi metode seperti mobile push di industri perbankan.
Kerut MFA lainnya adalah mengharuskan pengguna akhir untuk memasukkan bukan nama pengguna/kata sandi, tetapi alamat email. Baik tautan aktual atau kode PIN kemudian dikirim ke alamat email.
Organisasi memiliki banyak cara untuk mencampur dan mencocokkan berbagai metode multifaktor untuk menemukan keseimbangan yang tepat antara keamanan dan pengalaman pengguna yang lancar.
Otentikasi tak terlihat: Gelombang masa depan
Metode autentikasi yang paling menjanjikan tidak mengharuskan pengguna akhir melakukan apa pun, yang disebut autentikasi tak terlihat. Ada beberapa variasi pada tema ini:
- Otentikasi biometrik perilaku. Ini menganalisis penekanan tombol, dinamika mouse, atau bahkan cara seseorang memegang ponselnya.
- Pengenalan perangkat. Pihak yang mengautentikasi dapat mengenali bahwa perangkat itu sendiri telah diberikan autentikasi.
- kontekstual/perilaku. Ini mungkin termasuk geolokasi, lingkungan komputasi dan sifat transaksi yang sedang dicoba.
Konsep lain yang terkait dengan otentikasi tanpa kata sandi dan gesekan rendah adalah otentikasi berkelanjutan berdasarkan perilaku pelanggan. Misalnya, jika otoritas otentikasi memiliki informasi kontekstual yang cukup saat login (alamat IP, geolokasi, riwayat masa lalu) mungkin mengizinkan pengguna masuk. Namun, sistem otentikasi terus memantau aktivitas pelanggan dan jika ada yang menimbulkan kecurigaan atau mereka mencoba tugas yang memerlukan tingkat autentikasi yang lebih tinggi, sistem mungkin akan mengirimkan pemberitahuan push yang meminta pelanggan untuk memverifikasi transaksi .
Seperti yang dikatakan David Britton, wakil presiden solusi industri di Experian, “Ada peluang bagi perusahaan untuk lebih bebas mengadopsi solusi tak terlihat, yang dapat mengurangi gesekan dan meningkatkan kepuasan pelanggan.”
Tentu saja, setiap metode otentikasi memiliki pro dan kontra. Dengan otentikasi tak terlihat, pelanggan berhak mempertanyakan apakah protokol keamanan ada di sana karena tidak terlihat dengan jelas. Kekhawatiran ini kemungkinan dapat diatasi dengan pendidikan dan dengan pengalaman pengguna yang lancar.