Переосмысление онлайн-аутентификации, чтобы перехитрить кибермошенников на базе ИИ

В бесконечной гонке вооружений против киберпреступности пароли всё чаще демонстрируют свои ограничения как защитный щит. Скомпрометированные удостоверения — это точка входа в треть взломов, и по мере развития преступной тактики — а ИИ увеличивает риск сложных атак — хорошим парням нужна более прочная защита.

На сцену встречаются ключи доступа — защита следующего поколения, которая заменяет пароли на защищённые данные входа, разблокированные биометрическими данными или PIN-кодом вашего устройства. Это значительно облегчает и безопаснее доказать, что это действительно вы, когда вы входите в онлайн-аккаунт или, с помощью платежных ключей, оплачиваете что-то. Разработанные FIDO Alliance — международной ассоциацией отраслевых стандартов с более чем 250 членами, платежные ключи быстро набирают популярность на крупных платформах и устройствах, помогая защитить счета и транзакции от всё более сложных фишинговых и социальных инженерных схем.

Теперь FIDO создает еще один уровень защиты от мошенничества. В сотрудничестве с Mastercard, технологическими гигантами и правительствами разных стран цель состоит в стандартизации разрозненных правил, регулирующих проверяемые учетные данные. Это проложит путь к значительному расширению использования паролей, позволяя людям хранить водительские удостоверения, паспорта и документы в защищенных облачных хранилищах. Подтверждаемые учетные данные также делают участие в новых платежных системах, таких как покупки с использованием искусственного интеллекта, более безопасным и надежным для всей экосистемы.

Новостная редакция Mastercard недавно встретилась с Эндрю Шикиаром, генеральным директором FIDO, чтобы узнать, как группа помогает укрепить защиту в быстро меняющемся цифровом мире.

Шикиар: Пароли можно украсть; их можно угадать. Они подвержены человеческим ошибкам. В случае с кодовыми ключами у вас есть виртуальный замок и ключ — замок находится на сервере, а закрытый ключ хранится только у вас. И это должно точно совпадать. Таким образом, сама идея удалённых атак с участием хакера, выдающего себя за вас и подключающегося к системе, просто невозможна — по сути, этот вектор атаки полностью исключается.  

Шикиар: Представьте себе будущее, где все активы и учетные данные в вашем физическом кошельке, а также все остальное, что не помещается в кошелек, теперь находятся на вашем устройстве или в облаке, на основе вашей подтвержденной личности. Это может включать в себя платежные данные, водительское удостоверение, паспорт — или другие сведения, такие как образование или программы лояльности. Этот цифровой подход более безопасен, обеспечивает большую конфиденциальность и лучший пользовательский опыт, чем тот способ, которым мы сегодня делимся информацией о своей личности, — который часто предполагает передачу третьим сторонам большего количества информации о вас, чем им, вероятно, необходимо. Например, подумайте, сколько отелей сделали ксерокопию вашего паспорта или водительского удостоверения, хотя на самом деле им нужно всего лишь подтвердить, что вы являетесь лицом, указанным в бронировании.

Многие из этих разработок обусловлены стремлением правительства и регулирующих органов к переходу на мобильную идентификацию. В сотрудничестве с партнерами по отрасли мы стремимся создать единство в отношении базовых технологий, сертификации и пользовательских сценариев для подтверждения квалификации. 

Шикиар: Mastercard сыграл ключевой вклад в расширение преимуществ ключей доступа на больше случаев использования. Рабочая группа по платежам стремится привнести доверие, безопасность и совместимость в цифровые транзакции. То, что мы сделали для входа с помощью паролей, рабочая группа теперь может сосредоточиться на цифровых транзакциях и платежах. 

Шикиар: Мы должны иметь возможность осуществлять платежи за электронную коммерцию ещё быстрее, проще и безопаснее. Часто для авторизации платежей приходится использовать одноразовый пароль. SMS всё чаще воспринимаются потребителями как рискованные из-за роста «smishing» или SMS-мошенничеств. Отход от такого пользовательского опыта к чему-то проще и безопаснее — будет большой победой. Я вижу, что мы расширим все эти возможности за пределы цифровых удалённых платежей и будем использовать традиционные магазины. Биометрические платёжные карты могут обеспечивать более высокий уровень надёжности для более высоких транзакций. Биометрические платежные терминалы тоже будут интересны. 

Шикиар: Сама агентская коммерция — отличная возможность обеспечить электронную коммерцию удобством и эффективностью. Но он новый, очень динамичный и развивается очень быстро. Важно сделать шаг назад, чтобы создать надлежащую защиту конфиденциальности и защищённую основу для агентской торговли. Как только джинн выйдет из бутылки, на отрасли лежит ответственность за безопасность агентской коммерции и положительный пользовательский опыт.

Торговля через агентов должна осуществляться с той же легкостью и безопасностью, что и сегодня с помощью паролей. Вот наша общая Полярная звезда. 

Шикиар: Угрозы социальной инженерии, генерируемые ИИ, — это самая большая угроза сегодня — фишинг с учётными данными и тому подобное. ИИ находится в центре всего, что мы делаем, к лучшему или худшему. Альянс FIDO стремится убедиться, что все эти действия, управляемые агентами, безопасны, надёжны и максимально полезны. Если мы будем работать вместе, чтобы обеспечить доверие к транзакциям, платежам и идентификации, главная победа для платежных сетей — и для всех — станет сделать нашу связь с экономикой безопасной и простой для всех потребителей.