來自未知當用戶嘗試使用新設備登錄移動應用程序時,經歷的摩擦表明,只有幾個應用程序可以從新設備提供身份驗證,而無需大大增加該過程的時間和困難。棄用的多因素身份驗證(MFA)技術似乎比生物識別技術更普遍。
這 '設備更改移動應用摩擦報告'對於2021年,研究金融科技和銀行的24個領先的移動應用程序,以了解如何使用身份驗證方法來保護登錄免受新移動設備的保護。
帳戶接管攻擊構成了2020年所有欺詐性交易的一半以上,因此金融機構有動力確保他們高度保證他們的用戶是他們所說的。因此模擬交換Infognia解釋說,當未知設備嘗試訪問現有帳戶時。
該研究表明,在新設備上平均完成身份驗證。在SMS上,通過SMS進行身份驗證的應用程序中的四分之三的支持次數支持了該方法SP 800-63B數字身份指南去年的安全性不足。
這項研究稱,基於知識因素和財產因素的MFA並不一定有幫助。 24個應用中的9個支持4位PIN用於身份驗證移動設備,Incognia發現這增加了巨大的摩擦。
發現其中兩個應用程序來自電子貿易和克洛弗的應用程序,可在沒有可見的額外步驟的新設備上進行身份驗證,因此從最低摩擦的新設備提供了身份驗證。隱身猜測他們可能正在使用行為生物識別技術或其他被動身份驗證方法。
Infognia還發布了一份移動應用程序摩擦報告登錄身份驗證和密碼重置要分析密碼和無密碼登錄技術的使用,請在財務應用程序中支持MFA,並比較不同應用程序中發現的摩擦量。
“大多數帳戶接管攻擊現在是社會工程,網絡釣魚和SIM轉換的結果,但仍然,大多數應用程序仍將SMS用作其設備授權過程的一部分,這非常容易受到這些攻擊的影響,” Infognia的創始人兼首席執行官AndréFerraz評論說。 “如今,智能手機包含可以利用無摩擦自適應身份驗證的技術和傳感器,從而降低了ATO的風險,而不會增加用戶體驗的摩擦。”
