Hvordan multifaktorautentisering beskytter din finansielle identitet

I årevis har passord og PIN-koder virket som inngangsporten mellom deg og pengene dine. Men som cyberkriminelle blir mer sofistikerte, har finansinstitusjoner blitt tvunget til å øke spillet sitt.

Banker og kredittforeninger har vendt seg til "multifaktorautentisering", "catch-all" -satsen for bruk av lag av sikkerhet utover et passord for å sikre at personen som får tilgang til sjekkkontoen din eller snu kortet ditt, er deg og ikke en identitetstyv.

Hvordan virker det?

En dag, multifaktorautentisering eller MFA, kan skje med en biometrisk enhet som leser fingeravtrykk, skanner øyet eller gransker ansiktet ditt. Kanskje du har en hemmelig dekoderring som forteller smarttelefonen din at du er den legitime eieren av bankkontoen din.

For nå skjønner MFA imidlertid mer verdslige former. Hvis du noen gang har skrevet inn mors mors pikenavn på bankens nettside, har du sett en rudimentær form for multifaktorautentisering.

MFA søker å gå utover bare gruvedrift brukerens egen kunnskap (passord og utfordringsspørsmål betraktes som "noe du vet") med andre typer bekreftelse, for eksempel et smartkort ("noe du har") eller en biometrisk lesing ("noe du er”). Da de vurderer denne menyen med sikkerhetstyper, må bankene også balansere behovet for strammere sikkerhet med forbrukernes etterspørsel etter raske og praktiske transaksjoner.

Hvilke institusjoner bruker multifaktorautentisering?

Lykke til å finne ut nøyaktig hvilke finansinstitusjoner som bruker MFA, eller hvilken form deres godkjenningsforanstaltninger tar. Banker og kredittforeninger er sjelden kommende om deres sikkerhetstiltak, frykt for at det å oppgi for mye vil gi de dårlige gutta en fordel.

Noen ganger vil imidlertid en institusjon utnytte sikkerhetsforanstaltninger. På sin hjemmeside snakker CIT Bank sin MFA.

Elevations Credit Union, for sin del, sier at "Enhanced Multi-Factor Authentication" vaktene mot tyver "ved å gi en ekstra autentiseringsfaktor" utover brukernavn og passord. "Kredittforeningen sier faktoren er" engangsadgangskode som er gitt til deg ved valg av telefon, tekstmelding eller e-post."

Det virker sannsynlig at enhver institusjon som håndterer Internett-transaksjoner, inkludert fellesskapsbanker og kredittforeninger, har en form for MFA på plass. Siden 2005 har Federal Financial Institutions Examination Council (FFIEC) oppfordret bankene til å lage lag av sikkerhet for online-transaksjoner. Det betyr at MFA er knapt eksotisk enn innskuddssikring - det vil si at det ikke er eksotisk i det hele tatt.

Hva er neste for dette sikkerhetsmålet?

Utfordringene for MFA fortsetter å bli mer skremmende. I 2011 anerkjente FFIEC at sikkerhetsspørsmål som ber om personlig informasjon, er for enkle å knekke i en epoke når folk sender gobs med informasjon om seg selv på Facebook og Twitter.

"Institusjonene bør ikke lenger vurdere slike grunnleggende utfordringsspørsmål, som en primær kontroll, for å være en effektiv risikoreduserende teknikk," fortalte FFIEC bankfolk.

Det samme gjelder for informasjonskapsler, som søker å verifisere brukerens identitet ved å sjekke om han logger inn fra samme datamaskin. Cookies er så lett at de har kompromittert at de også har mistet verdien som et autentiseringsverktøy, sier FFIEC.

FFIEC synes imidlertid imponert av mer sofistikerte engangs cookies som kan triangulere forbrukerens identitet ved å se på en datamaskinens konfigurasjon, IP-adresse og geografisk plassering.

FFIECs bekymring for sikkerhetsautentisering er et svar på det voksende problemet med elektronisk økonomisk svindel. Svindlere har stjålet hundrevis av millioner dollar. Målkredittkortbruddet viser at verken finansinstitusjoner eller forhandlere har dette problemet helt under kontroll.

Så hva er neste for MFA? I en rapport til British Payments Council forutser futurist Ian Pearson fremveksten av fingeravtrykk, stemmegjenkjenning og ansiktsgjenkjenning.

Den sanne hellige gralen, han stiller, vil være smykker eller til og med hudimplantater som kan validere en bankkunders identitet.

"Vi vil snart se deler av sikkerhetssmykker som kommer inn på markedet for betalingsautentisering, for eksempel elektroniske signetringer," skriver Pearson. "Det er mye vanskeligere å miste en ring enn en mobiltelefon."

Hendene som oppgir kredittkortinformasjon i mage via Shutterstock.