Нас часто расспрашивают о существующих технологиях online — аутентификации, их применении и эффективности.
Актуальность данной темы обусловлена не только новым законодательством, но и важностью данной функции в анти-фрод системах и конверсии клиентов в online — банках и магазинах.
Со своей стороны мы хотели бы донести несколько аспектов, которые редко упоминаются:
- набор технологий является более широким;
- у каждой есть плюсы и минусы, а также определенные области применения.
В рамках этого письма мы хотели бы выделить **6 основных и наиболее часто используемых **групп технологий online аутентификации:
- Пароли и логины, персональные данные и социальные сети — это 3 группы часто используемых систем. Их основным плюсом является изученность и адаптированность к нашей финансовой инфраструктуре. Но ,одновременно с этим, системы являются наиболее уязвимыми — например, 30%+ паролей пользователей взламываются методом подбора;
- Cookie & Cookie Syncing — метод синхронизации web — кук с поставщиками рекламы и поисковиками.
Основные плюсы — колоссальный объем данных, ядро идентификаторов-кук, остается стабильным для значимой доли онлайн — пользователей.
Основной минус — данный способ защиты легко взламывается за счет стирания кук и кэша устройств.
Наблюдение: наиболее объемными данными и продолжительными cookies обладают независимые поставщики, это связано с тем, что они синхронизируют свои данные со всеми участниками рынка;
- Seamless Web Identification — набор алгоритмов незаметного/ бесшовного для пользователя определения устройства и пользователя, включающий более 10 методов.
Примеры: параметры производительности устройств, расширенный device fingerprinting, persistent cookies, анализ ритмичности использования клавиатуры.
Основные плюсы — высокий уровень обезличенной идентификации пользователя и выявления фродилентного поведения; высокая стоимость взлома/ подделки данных. При этом текущий объем базы маркеров фродстеров небольшой; - Biometrics — это более известные алгоритмы идентификации пользователей. Среди них — анализ фотографий, вен рук, радужки глаза (iris biometrics) и отпечатков пальцев.
Основной плюс — высокий уровень определения пользователя.При этом есть ряд минусов : текущие технологии не позволяют полностью отказаться от ручной проверки для выявления вклеек и встроенных фотографий; при использовании биометрии в online наблюдается снижение конверсии из-за боязни пользователей делиться биометрическими данными.
Как Вы видите, существует широкий набор алгоритмов. Более того, каждый год появляются новые методы.
Основные выводы с точки зрения практического применения:
- Не существует отдельного наиболее оптимального подхода к идентификации пользователей. Мы встречали успешные компании, которые обладают одними из лучших показателей по выявлению фрода и они не используют биометрию, и наоборот;
- Оптимальным механизмом является комбинация различных подходов при условии ее экономической эффективности;
- Построение собственной системы идентификации пользователей и анти-фрод механизмов потребует постоянных улучшений с учетом развития технологий защиты и их обхода.
Надеемся, наш обзор был полезен.
Ждем ваших вопросов, предложений и правок.
В следующем обзоре мы приведем описание практического внедрения систем online — идентификации и полученных результатов.