作者:FIDO联盟工作人员

FIDO 身份验证在金融服务中的作用是什么,可以做些什么来帮助消费者和发卡机构提高安全性? 这些主题是 3 月 25 日由 FIDO 联盟主办的“身份验证虚拟峰会:金融服务的现代身份验证”的基础。

这场以金融服务为重点的活动包括来自eBay、Financial Data Exchange、Gemini、Google、Javelin Strategy and Research、万事达卡、摩根大通、StrongKey、Trusona和Visa的演讲者,主题涵盖从身份验证的未来到如何优化用户身份验证体验的最佳实践。

FIDO联盟执行董事兼首席营销官Andrew Shikiar在开幕主题演讲中指出,在大流行期间,针对金融服务机构的网络攻击有所增加,这只会增加对更强大的身份验证方法的需求。

“归根结底,绝大多数统计数据和这些问题中的绝大多数都归结为基本事实,即我们正试图在根本不适合目的的身份验证模型上运行一个高度互联的经济,一个网络社会,这当然是我们对密码的依赖。“Shikiar说。

Shikiar 详细介绍了 FIDO 联盟如何努力帮助世界摆脱密码,并帮助用户从更强大的身份验证形式中受益。 特别是,FIDO在金融服务市场中发挥着关键作用。 如今,金融服务公司正在使用 FIDO 规范来帮助保护在线帐户免受帐户接管和网络钓鱼攻击。 一个关键目标是使组织更容易使用强身份验证。 Shikiar 强调,FIDO 联盟的口号是:更简单、更强大的身份验证。

“如果说业界已经看到一件事,那就是MFA的方法越复杂 [Multi-Factor Authentication] ,人们坚持下去的可能性就越小,“Shikiar说。“因此,为了让人们继续使用强身份验证,它需要简单而单一的手势,这是FIDO方法的核心。

在Visa使用FIDO改进身份验证

Visa是全球最大的信用卡品牌和金融服务公司之一,它将FIDO视为帮助提高安全性和减少欺诈的强大工具。

在主题演讲中,Visa身份和认证产品主管David Henstock指出,FIDO规范在帮助支付行业取得更好的成果方面发挥着重要作用。 Henstock指出,近年来越来越多的情况是,欺诈者将目标锁定在身份验证层。

“经常出现的问题是,Visa可以做些什么来帮助打击账户接管欺诈?” “亨斯托克说。 “罪魁祸首往往是基于知识的身份验证,或者简单地说是密码。

Henstock指出,FIDO是一种从用户名和密码升级到更安全标准的简单方法,可以升级卖家的身份验证体验。 他补充说,总体而言,FIDO有助于提供更好、更易于使用的客户身份验证体验。

FIDO 对于帮助实现法规遵从性也很重要。 在欧洲,PSD2 [Payment Services Directive version 2] 是采用强身份验证的关键驱动因素,因为它强制要求使用强客户身份验证 (SCA)。

“如果你在欧洲做数字商务,你必须遵守SCA的规定,”亨斯托克说。

为了帮助组织进行 FIDO 部署,StrongKey 的首席技术官 Arshad Noor 利用他的身份验证会议详细介绍了 StrongKey FIDO 服务器中的新功能,这些功能可以帮助组织应对全球需求的挑战。

“我们在WebAuthn和FIDO生态系统中看到了很多混淆,人们在安全功能和消费者与FIDO交互时所经历的用户体验之间混淆了,”Noor说。 “我们认为,FIDO首先应该被视为一种安全技术,其次应该被视为一种便利技术。

消费者对密码的信心正在下降

摒弃密码的需求不仅与监管有关,还与消费者对基于密码的身份验证安全性的信心有关。

在一次会议上,Javelin Strategy & Research分析师Rachel Huber和John Buzzard概述了市场在欺诈和在线安全方面的状况。

“我们发现,消费者对密码的信心大幅下降,我想说 – 最后,”Buzzard说。

Buzzard指出,消费者已经开始意识到,包括生物识别技术在内的更强大的身份验证方法是验证身份的有效方法。 他补充说,消费者现在表示他们已经准备好摆脱密码。

“无论密码是否消失,也许它变得有点像该市的市长McCheese,因为它就在那里,但如果这是它所需要的,它没有任何意义,”Buzzard说。 “这仍然没问题,因为我们已经准备好推进更强大的身份验证形式。

支付和身份验证的未来

FIDO标准是eBay安全工作的核心,它有助于在线市场满足其不同用户群的需求。 在关于支付和身份验证未来的小组讨论中,eBay的身份,移动和分析产品管理主管Ashish Jain解释说,他的平台面临的一个关键挑战是拥有能够满足广泛客户群需求和要求的正确体验。

“当我们开始调查FIDO并看到它得到了Google,Microsoft和Apple的支持时,它给了我们信心,它可以满足各种客户的需求,因此,我们继续调查和投资该协议,”Jain说。

对于谷歌身份与安全产品经理克里斯蒂安·布兰德(Christiaan Brand)来说,FIDO的采用最初是为了帮助遏制网络钓鱼风险,并已发展成为一种帮助提高谷歌及其用户安全性多个方面的方法。

“FIDO是为数不多的安全发明之一,它旨在解决安全性问题并改进该轴,同时也在可用性方面进行改进,”布兰德说。 “如今,内置于平台中的FIDO组件确实为我们的用户提供了更好、更安全的体验。”

对于万事达卡身份解决方案高级副总裁 Ranjita Iyer 来说,FIDO 规范正在与其他标准相结合,包括 EMV 3D Secure 努力,以实现无缝的身份验证和支付体验,从而提高数字交易的批准率并降低欺诈行为。

将FIDO与其他标准集成也是金融数据交换(FDX)通过其堆栈实现的。 Financial Data Exchange 董事总经理 Don Cardinal 在一次会议上解释说,他的组织致力于围绕可互操作的免版税标准统一金融服务行业,以获得访问数据的安全权限。

“整个想法是停止共享用户ID和密码,并停止在整个会话中使用它们,”Cardinal说。 “理想情况下,如果你在整个FDX中都有OIDC [OpenID Connect]和FIDO,你可以注册、使用和消费整个设置,而永远不要使用凭证,我认为这在当今时代真的很强大。”

优化 UX 以实现强身份验证

虽然 FIDO 规范的技术细节对于启用强身份验证至关重要,但优化用户体验对于采用至关重要。

在当天的最后一场小组讨论中,FIDO Alliance 营销总监 Megan Shamas 指出,目前正在努力测试和改进 FIDO 用户体验。 该测试工作的指南将于 2021 年底公开发布。

Visa设计总监(CX/UI)Kerry Hebert强调,FIDO的实施很可能取决于用户的采用,而只有在用户注册的情况下才会采用。 她指出,对于用户来说,要迈出注册的一步,他们需要相信它提供的东西是有价值的,并在某种程度上使消费者的生活变得更好。

Trusona 首席体验官 Kevin Goldman 强烈建议金融服务公司不要考虑 用户体验是附加到流程结束时的东西。 相反,他建议它是支持和启用FIDO标准的整个过程的一个组成部分。

摩根大通(JPMorgan Chase & Co)副总裁兼数字身份和身份验证产品经理朱迪·克莱尔(Judy Clare)在小组讨论中表示,从体验的角度来看,FIDO的参与需要易于消费者消化。

“你真的必须有这个价值主张——它对我有什么好处,为什么我应该点击这个,多花 30 秒来注册它,然后继续前进,因为我在这里做某事,但事实并非如此,”克莱尔说。 “因此,牢记用户非常重要。”

下一篇:更多认证峰会和认证2021会议

2021 年,FIDO 联盟将推出更多内容。

展望未来,6 月将举办另一场虚拟活动,重点关注欧洲的强身份验证。 此外,还计划于10月在西雅图举行实体认证会议。

Shikiar说:“总的来说,我们看到的是很多最佳实践分享,每个人都在一起,并有动力帮助保护网络经济,而FIDO认证提供了一种很好的方式。 “因此,我们鼓励您当然参与其中。