La autenticación basada en el conocimiento , comúnmente conocida como KBA , es un método de autenticación que busca probar la identidad de alguien que accede a un servicio, como una institución financiera o un sitio web. Como sugiere el nombre, KBA requiere el conocimiento de la información privada de la persona para demostrar que la persona que proporciona la información de identidad es la propietaria de la identidad. Hay dos tipos de KBA: KBA estático , que se basa en un conjunto previamente acordado de secretos compartidos, y KBA dinámico , que se basa en preguntas generadas a partir de una base más amplia de información personal. [1]
La KBA estática, también conocida como "secretos compartidos" o "preguntas secretas compartidas", es comúnmente utilizada por bancos, empresas de servicios financieros y proveedores de correo electrónico para probar la identidad del cliente antes de permitir el acceso a la cuenta o, como alternativa , si el usuario olvida su contraseña. En el punto de contacto inicial con un cliente, una empresa que utiliza KBA estática debe recopilar la información que se compartirá entre el proveedor y el cliente, por lo general las preguntas y las respuestas correspondientes. Luego, estos datos deben almacenarse solo para ser recuperados cuando el cliente regrese para acceder a la cuenta.
La debilidad de la KBA estática se demostró en un incidente en 2008 en el que se obtuvo acceso no autorizado a la cuenta de correo electrónico de la exgobernadora de Alaska Sarah Palin . El Yahoo! La contraseña de la cuenta se puede restablecer mediante preguntas secretas compartidas, como "¿Dónde conoció a su cónyuge?" junto con la fecha de nacimiento y el código postal del ex gobernador, cuyas respuestas estaban fácilmente disponibles en línea.
Algunos proveedores de verificación de identidad han introducido recientemente imágenes o sonidos secretos en un esfuerzo por ayudar a proteger los sitios y la información. Estas tácticas requieren los mismos métodos de almacenamiento y recuperación de datos que las preguntas secretas.
KBA dinámico
Dynamic KBA es un alto nivel de autenticación que utiliza preguntas de conocimiento para verificar la identidad de cada individuo, pero no requiere que la persona haya proporcionado las preguntas y respuestas de antemano. Las preguntas se compilan a partir de datos públicos y privados, como datos de marketing, informes de crédito o historial de transacciones.
Para iniciar el proceso, el consumidor debe proporcionar los factores básicos de identificación, como el nombre, la dirección y la fecha de nacimiento, y verificarlos con un servicio de verificación de identidad . Una vez verificada la identidad, se generan preguntas en tiempo real a partir de los registros de datos correspondientes a la identidad individual proporcionada. Por lo general, el conocimiento necesario para responder las preguntas no está disponible en la billetera de una persona (algunas empresas las llaman "preguntas fuera de la billetera"), lo que dificulta que cualquier persona que no sea el propietario real de la identidad conozca la respuesta y obtenga acceso a información. Generalmente, el tiempo y el número de intentos proporcionados para responder son limitados para evitar que se investiguen las respuestas.
Dynamic KBA se emplea en varias industrias diferentes para verificar las identidades de los clientes como un medio de prevención del fraude y cumplimiento del cumplimiento. Debido a que este tipo de KBA no se basa en una relación existente con un consumidor, brinda a las empresas una forma de tener una mayor seguridad de identidad sobre la identidad del cliente durante la creación de la cuenta.
Ver también
Referencias
- ^ K. Skračić, P. Pale y B. Jeren, " Requisitos de autenticación basados en el conocimiento ", 36ª Convención Internacional de Tecnología de la Información y la Comunicación, Electrónica y Microelectrónica (MIPRO) de 2013, Opatija, Croacia, 2013, págs. 1116-1120.