Джим Брюн (Jim Bruene), издатель блога Netbanker, будучи под влиянием недавно прочитанной книги Дэна Брауна, решил описать 9 кругов безопасности интернет-банкинга. Уровни расположены согласно той идее, что различные активности пользователей в интернете требуют разных мер приватности и безопасности. Они начинаются с наименее секретной информации и идут далее.
Уровень 1
Куки: Несмотря на всеобщую неприязнь к куки (cookies), они необычайно полезны и большинство пользователей будут в итоге очень недовольны из-за их отсутствия. Используйте куки для отправки юзеров к их любимому контенту. К примеру, пользователи из сегмента малого бизнеса должны увидеть первой страницу услуг банка для МСБ (или интернет-банкинга для корпоративных клиентов).
Уровень 2
Социальный логин: Вам необходимо точно знать, кто посещает ваш сайт, чтобы можно было делать кросс-продажи, а также дать возможность пользователям ощутить преимущества получения более точной персональной информации. Банки могут использовать социальный логин (Facebook, Google, Twitter, Linkedin) для более быстрого входа пользователей в различные сервисы. Используйте социальный логин для большей персонализации, используйте списки друзей, кнопки “лайк” и др.
Уровень 3
Автоматический доступ к базовой информации (только на чтение): Большинство пользователей предпочтут ультра быстрый доступ к базовой банковской информации, например, к данным об остатках по счетам и последним операциям. Позвольте пользователям держать сессию открытой в течение нескольких дней или даже недель, однако показывайте лишь базовую информацию, которую не смогут использовать мошенники для получния доступа к счетам.
Уровень 4
Простой логин к базовой информации (только чтение): Возможно вы не хотите держать пользователей залогиненными в течение долгого периода времени. Ок. Тогда сделайте процедуру доступа на чтение экстремально простой. Например, с помощью 4-х значного ПИНа и/или по простому биометрическому индикатору (набор текста, голос, идентификация по лицу, и т.д.)
Уровень 5
Полный доступ (только чтение): На уровнях 3 и 4 пользователи могут получать доступ только к базовой информации (баланс и последние 5 операций). Уровень 5 переходит к полному доступу ко всем счетам включая перевод средств между этими счетами. Пользователям в этом случае необходимо указать полный логин и пароль для получения доступа.
Уровень 6
Авторизация на переводы в соответствии с лимитами банкоматов: Пользователи могут осуществлять внешние переводы согласно заранее установленным в банке лимитам, например, 2 500 гривен в день, но не более 20 000 гривен в месяц и так далее. Пользователям достаточно пройти проверку с помощью отпечатка пальца или геолокационную проверку (используя смартфон, планшет или ПК, к примеру), чтобы подтвердить перевод денег.
Уровень 7
Авторизация для повышения лимита: Банк и/или пользователи могут установить другой уровень предельной величины (например, 16 000 гривен в день, 120 000 гривен в месяц), что потребует дополнительного ввода пароля/ПИНа для авторизации.
Уровень 8
Внесение правок в учетную запись (пароль, адрес, получатель, и т.д.) потребует использование внешнего способа аутентификации. За границей банки могут потребовать сделать звонок с определенного зарегистрированного ранее мобильного телефона. В Украине банки могут потребовать персонально посетить отделение банка для идентификации, могут потребовать написать заявление в свободной форме.
Уровень 9
Авторизация для повышения лимита сверх максимального уровня: Все, что находится выше описанного в уровне 7 может также потребовать какой-либо внешний способ аутентификации, однако обычно приходится ждать в течение холд периода (24 часа), пока банк выполнит внутреннюю процедуру подтверждения лимита.
В качестве резюме: Если все это звучит для вас безумно сложно, то так кажется лишь на первый взгляд. Для большинства пользователей достаточным является доступ к базовой информации. И только продвинутым юзерам потребуется более сложная аутентификация. В любом случае, все уровни безопасности должны быть прозрачными для конечного пользователя. Им лишь необходимо запомнить логин, пароль, 4-х значный ПИН и иметь при себе смартфон. Ну а банк расскажет о различных методах аутентификации в зависимости от определенных потребностей своих клиентов (пользователей).
Новости мира сегодня @ Roomian Research