Wyzwania Użytkownicy bankowości elektronicznej mają coraz

Wyzwania
Użytkownicy bankowości elektronicznej mają coraz większe wymagania odnośnie
funkcjonalności oraz dostępności usług, co pociąga za sobą konieczność uatrakcyjniania oferty dla
rozwijających się aplikacji internetowych i mobilnych. W obliczu tych zmian operatorzy serwisów stają
przed wyzwaniem zapewnienia zaufanych i bezpiecznych mechanizmów uwierzytelniania i autoryzacji,
które równocześnie muszą być zdywersyfikowane i elastyczne. Innym czynnikiem są coraz częstsze
przypadki łamania konkretnych metod uwierzytelniania sankcjonujące szybkie wprowadzanie zmian oraz
dostosowywanie metod do ryzyka transakcji. W rezultacie, organizacje bez nowoczesnej platformy,
chcące świadczyć innowacyjne serwisy często zmuszone są do budowania serwisów uwierzytelniających
dla każdej aplikacji oddzielnie, z dedykowaną, nową metodą uwierzytelniania pracującą w swoim
własnym „silosie”. Takie podejście obniża bezpieczeństwo, podnosi koszty utrzymania i utrudnia rozwój
wielokanałowych platform serwisowych.
Rozwiązanie
ActivID Authentication Server (AS) jest unikalną i kompletną platformą umożliwiającą
organizacjom świadczącym usługi elektronicznie takim jak instytucje finansowe czy operatorzy serwisów
wprowadzenie jednolitej warstwy uwierzytelniania we wszystkich kanałach świadczenia usług. Serwer
implementowany, jako oprogramowanie lub w formie appliance, został zaprojektowany jako
uniwersalna platforma usług uwierzytelniania, z myślą o wielu liniach biznesowych, różnych kanałach
świadczenia usług, oraz o populacjach osiągających nawet miliony użytkowników. Platforma pozwala na
separację i segregację zbiorów danych i serwisów administracyjnych, w taki sposób, aby w dużych
organizacjach ta sama instancja serwera mogła być wykorzystywana przez różne linie biznesowe.
ActivID Authentication Server umożliwia dopasowanie różnych metod uwierzytelniania (hasła
statyczne, pytania bezpieczeństwa, hasła jednorazowe OTP, PKI, etc) oraz urządzenia
uwierzytelniającego (np. token sprzętowy lub programowy, klucz USB, karta PKI, SMS, etc) do
konkretnych populacji użytkowników, ich preferencji i do poziomów ryzyka. Dzięki otwartej
i rozszerzalnej platformie dostępnej przez Web Services API, dołączanie nowych metod uwierzytelniania
jest proste i nie wpływa na aplikacje biznesowe. Korzystając z takich narzędzi organizacje mogą szybko
reagować na nowe ataki, sprawniej realizować ewolucję serwisów oraz adresować nieustannie
zmieniające się preferencje użytkowników końcowych.
Charakterystyka
ActivID Authentication Server oferuje możliwość kontekstowego uwierzytelniania w zależności
od kanału dystrybucji usług, przez który użytkownik dociera do instytucji. Cecha ta pozwala różnym
portalom webowym, centrom kontaktowym, bankowości mobilnej, itp., korzystać ze wspólnej platformy
uwierzytelniania do weryfikacji tożsamości użytkowników, abstrahując jednocześnie od konkretnej
metody uwierzytelniania.
ActivID Authentication Server charakteryzują następujące funkcje:
-
Wsparcie uwierzytelniania zarówno użytkowników jak i transakcji;
-
Szeroki wybór metod uwierzytelniania opartych o otwarte standardy (tj. OATH, PKI, EMV), oraz
o standardy własne (algorytm ActivIdentity generujący hasła jednorazowe w oparciu o 3
zmienne);
-
Wsparcie tokenów sprzętowych i programowych, kart inteligentnych, DisplayCard, kluczy USB,
oraz SMS i Email (uwierzytelnianie autonomiczne, ang. Out-Of-Band - OOB);
-
Możliwość dobudowy nowych metod uwierzytelniania poprzez rozszerzalną platformę;
-
Zarządzanie cyklem życia urządzeń uwierzytelniających (tokeny) oraz poręczeń użytkowników
(hasła, etc);
-
Konfiguracja polityk dla haseł statycznych oraz pytań bezpieczeństwa;
-
Centralny serwis audytu, śledzący transakcje i zdarzenia występujące w wielu kanałach
dystrybucji usług pozwala utrzymać zgodność z zaleceniami i normami, jednocześnie ujawniając
wszelkie zmiany (tamper evident);
-
Granularny system nadawania praw, tworzenia ról i przydzielania metod uwierzytelniania do
konkretnych kanałów serwisowych;
-
Wykorzystanie sprzętowych modułów bezpieczeństwa, HSM (Hardware Security Module), do
ochrony krytycznych danych użytkowników oraz do zapewnienia niezaprzeczalności audytu;
-
Wysoce skalowalna architektura;
-
Uniwersalna warstwa abstrakcji z bogatymi narzędziami programistycznymi, umożliwiającymi
integrację na korporacyjnej szynie usług (Enterprise Service Bus).
Wdrożenie
ActivID Authentication Server może być wdrażany jako oprogramowanie instalowane na
systemie operacyjnym i pracujące pod kontrolą serwera aplikacyjnego lub jako appliance zarówno
sprzętowy jak i wirtualny. Serwer może być przygotowany do pracy w konfiguracji redundantnej.
Integracja serwisów serwera ActivID Authentication Server z aplikacjami biznesowymi odbywa
się przy pomocy narzędzi programistycznych API (Web Services, SOAP/RMI) i zwykle realizowana jest
przez integratora systemów.
Nowości
Uwierzytelnianie sfederowane (zcentralizowane) / w chmurze
ActivID AS Appliance wspiera standard SAML v2, podnoszący możliwości uwierzytelnia
i autoryzacji użytkowników w środowiskach sfederowanych.
Otwarty standard SAML v2 umożliwia dostawcom usług (Service Provider) delegowanie procesu
uwierzytelniania użytkowników do zaufanej 3-ciej strony, nazywanej Poręczycielem Tożsamości (Identity
Provider). Dostawcą usług może być strona webowa bankowości internetowej, lub aplikacja
korporacyjna udostępniana w chmurze dla pracowników lub dla klientów zewnętrznych. Standard SAML
pozwala wielu dostawcom usług współpracować z pojedynczym Poręczycielem Tożsamości (np.
Bankiem) w celu sfederowania (zcentralizowania) serwisów uwierzytelniania, autoryzacji i audytu.
Poniższy rysunek prezentuje jak ActivID AS może pracować jako Poręczyciel Tożsamości (Identity
Provider) w ramach standardu SAML: (1) użytkownik loguje się do usługi w chmurze i zostaje
przekierowany na portal serwera 4TRESS swojego Poręczyciela Tożsamości (2); po poprawnym
uwierzytelnieniu (3) użytkownik zostaje z powrotem przekierowany na portal dostawcy usługi
i otrzymuje dostęp do aplikacji w chmurze (4). W tym procesie portal dostawcy usługi wymienia
informacje autoryzujące z serwerem 4TRESS przy pomocy standardu SAML.
Uwierzytelnianie adaptywne oraz wykrywanie oszustw (fraud detection):
Jednym z mechanizmów dostępnym w wielowarstwowych systemach detekcji oszustw (fraud
detection) jest uwierzytelnianie adaptywne oferowane w 4TRESS AS Appliance jako usługa w chmurze,
będąca pierwszą linią obrony detekcji oszustw i ochroną przed nieautoryzowanym dostępem.
Uwierzytelnianie adaptywne jest opłacalną metodą umożliwiającą profilowanie i identyfikację urządzeń,
z których użytkownicy łączą się z serwisem Web. Zarys działania został przedstawiony na poniższym
rysunku. W momencie logowania do usługi (1) (2) ustalany jest profil użytkownika (3) w serwisie fraud
detection. Serwer 4TRESS AS, po otrzymaniu oceny poziomu ryzyka (6) dla komputera, z którego
użytkownik łączy się z serwisem, w dalszym kroku przekazuje Dostawcy Usługi atrybuty ryzyka
decydujące o akceptowalnej metodzie uwierzytelnienia (7).
Korzyści wynikające z rozwiązania ActivID Authentication Server
Korzyści zastosowania ActivID Authentication Server płynące dla dostawców usług:






Podniesienie bezpieczeństwa poprzez zastosowanie nowoczesnych metod silnego
uwierzytelniania sesji i transakcji, takich jak, tokeny sprzętowe i programowe, SMS, EMV;
Centralizacja usług uwierzytelniania na korporacyjnej szynie serwisowej (ESB), definiujące
pojedyncze centrum kosztowe i umożliwiające przekształcenie rozproszonej struktury do
spójnego modelu;
Kontrola ryzyka: dostosowanie bezpiecznego dwuskładnikowego uwierzytelniania do ryzyka
operacji/transakcji i/lub do populacji użytkowników;
Ochrona inwestycji: zastosowanie otwartych standardów (np. OATH) oraz możliwość rozbudowy
o nowe metody uwierzytelniania w ramach rozszerzalnej platformy;
Redukcja kosztów: zastosowanie uniwersalnej, wielopoziomowej szyny serwisów
uwierzytelniania, dostępnych przez bogatą warstwę abstrakcji API, ogranicza kosztowne
ingerencje w aplikacje biznesowe;
Poprawa kontroli i zgodności: zastosowanie mechanizmów zapewniających bezpieczny audyt
(tamper evident HSM).
ActivID Authentication Server może zapewnić również:
-
Ochronę korporacyjnego dostępu zdalnego w oparciu o protokół RADIUS i hasła jednorazowe;
Uwierzytelnianie do aplikacji korporacyjnych, z których przedsiębiorstwo korzysta w chmurze,
np. Google App, Salesforce, etc;
Detekcję oszustw (fraud detection) poprzez uwierzytelnianie adaptywne, będące częścią
ochrony przed kradzieżą cyfrowej tożsamości.