Простой банковский уровень безопасности или словесные пароли
Было время, когда меня устраивало, что мой банк аутентифицировал меня по телефону, запросив некоторые персональные данные, но сейчас такие данные можно встретить в даркнете по довольно низкой цене. В какой-то момент я решил, что это не приемлемо для тех кто держит значительную часть моих денег и я начал отказываться от услуг тех, кто не позволил мне добавить простую словесную кодовую фразу, которую нужно было произнести до того, как сведения о счете могут обсуждаться по телефону. Большинство финансовых учреждений позволяют добавлять словесные пароли или персональные идентификационные номера (ПИН), которые отделены от любого другого PIN-кода или пароля онлайн-банкинга, хотя мало кто будет рекламировать это.
Несмотря на это, многие учреждения не должным образом обучают персонал службы поддержки клиентов (или имеют высокую текучесть кадров в этом отделе). Это может позволить умным и настойчивым мошенникам уговорить представителей обслуживания клиентов проверять вызов только личным данным и дате рождение, или требовать правильных ответов на так называемые вопросы аутентификации на основе знаний Ваших личных данных. Как упоминалось ранее в нескольких статьях, кражи личных данных могут активно применяться, потому что это включает в себя информацию о кредитах, месте жительства.
Такая информация часто содержится в онлайн-услугах или социальных медиа. Несколько лет назад я начал тестировать финансовые учреждения в которых лежали мои личные активы. Я был приятно удивлен, обнаружив, что большинство из них были рады добавить PIN-код или пароль к учетной записи. Но многие сотрудники службы поддержки клиентов в этих учреждениях не смогли помочь мне, когда я позвонил и сказал, что не помню эту фразу и спросил если ли какой-либо другой способ подтверждения моей личности?
В конечном итоге я переместил все свои инвестиции в учереждение, которое последовательно соблюдало все мои требования. А именно, для того, чтобы подтвердить забытую фразу, необходимо было лично посетить филиал банка, после чего можно продолжить операции со счетом. Их сотрудники по обслуживанию клиентов последовательно задавали правильные вопросы и не интересовались тем, на какие из них были даны правильные ответы (я не буду называть это учреждение по понятным причинам).
Если Вы не знаете, поддерживает ли Ваше финансовое учреждение словесные пароли? Спроси их. Если они согласятся установить для Вас кодовую фразу, то установив ее, через нескольких дней проведите проверку, можете ли Вы заставить людей из обслуживания клиентов в этом учреждении, говорить информацию о Вашей учетной записи, не услышав этот пароль.
В то время как очень многие люди готовы жертвовать безопасностью для большего удобства, то параноики могут выбрать этот способ защиты для большей безопасности. Отличным примером этого является дополнительная функция расширенной защиты Google, которая значительно усложняет проникновение в Gmail, диск или другие сервисы Google — даже если злоумышленники уже знают Ваш пароль.
«Ультрасовременный режим защиты доступа предназначен для пользователей с высоким уровнем риска, в том числе для тех, кто сталкивается с угрозой международной государственной атаки» — пишет Энди Гринберг для Wired. «Думайте политикам и чиновникам, людям с высоким уровнем чистой прибыли, активистам, диссидентам и журналистам, подойдёт простой вариант защиты?». Гринберг продолжает: «Таким образом, это строгая и неумолимая система, призванная укрепить все возможные слабые звенья, которые хакеры могут использовать для захвата Вашей учетной записи. Для входа в систему с рабочего стола потребуется специальный USB-ключ, а для доступа к вашим данным с мобильного устройства аналогичным образом потребуется Bluetooth-ключ. Все сервисы и приложения, не относящиеся к Google, будут ссылаться на ваш Gmail или Google диск. Сканеры вредоносных программ Google будут использовать более интенсивный процесс для карантина и анализа входящих документов. Но если Вы забудете свой пароль или потеряете ключи входа в систему, вам придется проходить намного больше степеней идентификации, чем когда-либо, чтобы восстановить доступ, тем лучше, чтобы сорвать планы злоумышленников, которые пользовались бы отсутствием многоступенчатой защиты Google».
Аналитик в области мошенничества Gartner Авива Литан говорит, что она долгое время полагалась на словесные пароли для своих самых Важных учетных записей. «Я считаю, что вербальный пароль — это хороший шаг и, безусловно это повышает безопасность, чем личные данные, которые можно легко узнать, дата рождения у меня написана на странице Facebook, — сказала Литан. Плюс это бесплатно и удобно. Это, конечно, не идеально, и потребители должны стараться использовать вербальные пароли, которые для них уникальны и которые они не используют для онлайн-паролей — в случае, если последние были скомпрометированы хакерами».
Вербальные пароли не следует путать с голосовой биометрией, технологией, которую сейчас внедряют некоторые финансовые учреждения, которые могут помочь аутентифицировать клиентов при профилировании и блокировании мошенников, неоднократно обращающихся к представителям службы поддержки клиентов.
Даже если Ваше учреждение предлагает голосовую биометрию, добавление словесного пароля / кодовой фразы по-прежнему является хорошей страховкой. Джули Конрой, директор по исследованиям компании Aite Group, заявила, что финансовые учреждения по-прежнему очень обеспокоены тем, что слишком много препятствий для хороших клиентов, по этому многие легко справляются с вербальными паролями. «Многие компании движутся в направлении не просто запроса пароля, но они выполняют анализ характеристик вызова, а также проверяют голосовой отпечаток потребителя», — сказал Конрой.