Autenticação baseada no conhecimento (KBA)
A autenticação baseada no conhecimento (KBA) refere-se à utilização de factores de conhecimento para a autenticação, ou seja, informações que supostamente só o utilizador conhece, como uma palavra-passe ou o nome da sua primeira escola ou animal de estimação. Estes são por vezes conhecidos como segredos partilhados porque a sua segurança depende do facto de serem conhecidos apenas por si e pela pessoa com quem partilhou o segredo.
A autenticação baseada no conhecimento pode incluir o seguinte:
- Palavras-passe ou PINs: As palavras-passe e os PIN são métodos tradicionais de autenticação e as pessoas estão geralmente habituadas a utilizá-los. No entanto, não são seguros porque podem ser facilmente adivinhados, partilhados ou roubados. A investigação do iProov mostra que 75% dos consumidores já utilizaram a palavra-passe de outra pessoa para aceder a um serviço em linha. Além disso, devido a violações de segurança, 63% dos consumidores tiveram de alterar uma palavra-passe. As palavras-passe também não são fáceis de utilizar. Para as tornar mais seguras, têm de se tornar mais complexas. Este fator torna-as mais difíceis de memorizar, o que significa que os utilizadores estão constantemente a utilizar a função "Esqueci-me da palavra-passe" ou a encontrar soluções alternativas (como anotar as palavras-passe), o que as torna menos seguras. A Forrester Research estima que o custo médio de uma única reposição de palavra-passe efectuada pelo serviço de assistência é de cerca de 70 dólares, enquanto a Gartner estima que 20% a 50% de todas as chamadas para o serviço de assistência são para repor palavras-passe.
- Perguntas de segurança: É pedido a um utilizador que responda a uma pergunta, como o nome de solteira da mãe ou o nome do primeiro animal de estimação. Por vezes, estas informações podem ser encontradas em linha, o que significa que muitas vezes não são seguras. Fazer várias perguntas de segurança também pode criar fricção e causar frustração ao utilizador.
A autenticação baseada no conhecimento pode ser estática ou dinâmica. Estático pode ser o nome de solteira da sua mãe ou o nome do seu primeiro animal de estimação, por exemplo. Os segredos partilhados dinâmicos são quando um banco lhe pode fazer perguntas sobre a sua conta que só você deve saber - por exemplo, para indicar o montante de uma transação específica que efectuou numa determinada data.
Os factores de conhecimento são vulneráveis ao roubo se a vítima for induzida a partilhá-los com um fraudador. Isto pode ser feito através de um processo chamado engenharia social, no qual um fraudador se disfarça de uma parte genuína ou manipula os utilizadores para que revelem os seus segredos partilhados.
Além disso, o problema com os segredos partilhados estáticos e dinâmicos é que os utilizadores podem esquecê-los ao longo do tempo ou não saberem as respostas. Isto cria uma grande fricção durante um processo de autenticação e pode resultar na desistência total dos utilizadores ou no recurso a processos manuais que são dispendiosos e/ou demorados.
Se for utilizada, a autenticação baseada no conhecimento é melhor combinada com outros métodos de autenticação mais seguros, como a tecnologia de verificação biométrica facial do iProov, como parte de uma estratégia de autenticação multifatorial ou de autenticação por etapas.
Saiba mais sobre a autenticação baseada em conhecimento
Artigo: Os riscos das palavras-passe