Xác thực ngoài băng tần
Xác thực ngoài băng tần tăng cường bảo mật bằng cách sử dụng một kênh giao tiếp riêng biệt hoặc 'băng tần' để xác thực từ kênh hoặc thiết bị chính đang được sử dụng. Điều này trái ngược với "xác thực trong băng tần": gửi thông tin đăng nhập qua cùng một kênh trong băng tần, một kênh "ngoài băng tần" độc lập riêng biệt được sử dụng cho một bước xác thực bổ sung.
Nói một cách đơn giản hơn, ngoài băng tần có nghĩa là xác thực độc lập với thiết bị - vì vậy ngay cả khi thiết bị bị xâm phạm, xác thực cũng không.
Giải pháp sinh trắc học khuôn mặt của iProov tận dụng xác thực ngoài băng tần thực sự. Quá trình xác thực xảy ra trên đám mây chứ không phải trên chính thiết bị của người dùng. Điều này tách mặt phẳng xác thực khỏi mặt phẳng thiết bị.
Những lợi ích của kiến trúc này bao gồm:
- Bảo vệ chống lại các thiết bị bị xâm nhập: Nếu kẻ tấn công có quyền truy cập đầy đủ vào thiết bị của người dùng, quá trình xác thực ngoài băng tần vẫn an toàn vì xác thực được xử lý độc lập với thiết bị; nó được cách ly với thiết bị bị xâm nhập đó.
- Tránh các lỗ hổng trong băng tần: Xác thực trong băng tần cung cấp ít bảo mật hơn so với nhận thức. Ví dụ: nếu một tổ chức gửi mật khẩu dùng một lần (OTP) đến thiết bị di động bị xâm nhập đó để xác thực một cá nhân, mã OTP không thực sự cung cấp bất kỳ bảo mật bổ sung nào. Kẻ xấu có thể sao chép email, trình xác thực hoặc SMS OTP được tạo trên thiết bị đó vì chúng được gửi đến thiết bị mà kẻ lừa đảo đã có quyền truy cập. Quyền truy cập vào thiết bị cấp quyền truy cập vào OTP. Đây là một lỗ hổng nghiêm trọng.
- Thuận tiện cho người dùng cuối: Xác thực sinh trắc học dựa trên đám mây cho phép bạn cung cấp xác thực ngoài băng tần thực sự mà không yêu cầu sử dụng nhiều thiết bị. Điều này tối đa hóa sự tiện lợi cho người dùng so với các luồng người dùng khác; Hãy tưởng tượng ai đó nhập mật khẩu của họ trên máy tính để bàn của họ nhưng không có điện thoại bên mình (hoặc mất hoàn toàn điện thoại) - họ hoàn toàn bị khóa khỏi quá trình xác thực tại thời điểm này, điều này sẽ làm giảm tỷ lệ thành công.
Các lỗ hổng nghiêm trọng vẫn còn nếu tất cả các yếu tố xác thực vẫn tập trung trên cùng một thiết bị. Ví dụ: Nếu người dùng mua thứ gì đó qua ứng dụng dành cho thiết bị di động và nhà cung cấp ứng dụng gửi mã SMS đến thiết bị di động đó để xác minh giao dịch mua, mã SMS không thực sự cung cấp bất kỳ bảo mật bổ sung nào — mã đang được gửi đến cùng một thiết bị và do đó, 'trong băng tần'. Nếu thiết bị đã bị xâm phạm, OTP là vô giá trị.
iProov giả định rằng thiết bị không đáng tin cậy và hoàn thành xác thực một cách an toàn và riêng tư trên đám mây, vì vậy nó độc lập với thiết bị đang được sử dụng. Ngay cả khi kẻ xấu có toàn quyền truy cập vào thiết bị của người khác, quá trình xác thực vẫn an toàn.
Các tổ chức nên thực hiện một cách tiếp cận toàn diện và nhiều lớp để bảo mật. Kịch bản lý tưởng là phân cấp tín hiệu nhận dạng trên nhiều nguồn đáng tin cậy - kết hợp xác thực ngoài băng tần với sinh trắc học và các tín hiệu khác được thu thập độc lập từ các kênh khác nhau dưới sự giám sát của trung tâm hoạt động bảo mật.