Hvordan fungerer identifisering av innringer egentlig?

Autentisering av innringere tar sikte på å besvare ett eneste spørsmål: Er innringeren den han eller hun utgir seg for å være?

Men hvordan man gjør det, har endret seg ganske mye opp gjennom årene.

La oss ta en titt på noen tradisjonelle metoder, og deretter diskutere hvordan eID-basert innringerautentisering fungerer i dag.

Tradisjonelle metoder for innringerautentisering

Historisk sett har bedrifter benyttet seg av flere alternativer for å verifisere innringere:

1. Sikkerhetsspørsmål: "I hvilken by ble du født?" Disse er lette å huske, men også lette å gjette. (I noen tilfeller klarer svindlere å passere disse kontrollene i over 90 prosent av tilfellene).
2. PIN-koder eller passord: Slå inn den forhåndsinnstilte koden din via tastaturet. Denne metoden er sårbar for phishing og sosial manipulering.
3. Nasjonale ID-nummer: "De fire siste sifrene i personnummeret ditt?" Problemet her er at det å kjenne til slike detaljer egentlig ikke beviser at du er den personen. Fødselsnummer kan lett avsløres i dagligdagse samtaler eller lekkes i forbindelse med masseinnbrudd.
4. Engangspassord (OTP-er): Engangskoder som sendes til brukerens nummer eller e-post. Selv om de er bedre enn statiske passord, er de fortsatt ikke immune mot SIM-bytte og phishing-angrep.
5. Matching av anroper-IDvia automatisk nummeridentifikasjon (ANI): "Finnes nummeret til den som ringer i systemet vårt?" Dette gjør lite for å forhindre anrop fra stjålne telefoner eller nummerforfalskning.
6. Stemmebiometri: Denne metoden forsøker automatisk å identifisere og matche innringerens stemme med en eksisterende kunde. Dessverre gjør moderne AI-stemmekloning denne metoden langt mindre pålitelig enn den pleide å være.

Hver av disse klassiske metodene har sine egne ulemper. Noen er enkle å implementere, men mindre sikre. Andre gir bedre sikkerhet, men skaper ekstra friksjon.

Men det finnes en bedre måte.

Fremveksten av eID-basert innringerautentisering

Stadig flere virksomheter velger eID-drevet innringerautentisering.

I stedet for å stille forhåndsinnstilte spørsmål eller blande koder, kan brukerne bevise sin identitet med den samme nasjonale eID-appen som de allerede bruker. I tillegg skjer hele prosessen på deres egen enhet, separat fra selve samtalen.

Derfor er det bådesikrere og mer brukervennligå bruke eID-er for å autentisere innringere enn tradisjonelle metoder.

Under en samtale kan denne typen autentisering utløses på to primære måter:

1. Enten automatisk av telefonsystemet for eksisterende kunder, eller etter at innringeren har oppgitt en identifikator via IVR-menyen (interaktiv talesvar). Dette kan til og med skje mens innringeren står i telefonkø.
2. Av kundesenteragenten, som en del av samtalen med innringeren. Dette gir agenten en viss frihet til å bestemme om og når CIBA-flyten skal settes i gang.

I begge tilfeller er resten av flyten i hovedsak identisk når den først er igangsatt.

La oss nå se på hva som faktisk skjer på det tidspunktet.

Trepartsprosessen

Hver autentiseringsflyt for innringere med eID involverer tre parter:

1. Agenten: Kundesenter (eller systemet) som utløser autentiseringsforespørselen.
2. Innringeren: Personen som trenger å autentisere seg ved hjelp av eID-en sin.
3. Autorisasjonsserveren: "Mellommannen" som håndterer selve verifiseringen.

Her er hva hver part gjør og ser på sin side.

Hva opplever agenten?

Fra agentens perspektiv er alt ganske enkelt.

Alt de egentlig gjør, er å taste inn innringerens identifikator for å starte CIBA-flyten. Deretter er det bare å... vente.

Etter at innringeren har autentisert seg, ser agenten statusen "Verifisert" på skjermen.

Og det var det.

Agenten kan bare fortsette å hjelpe den nå verifiserte kunden.

Hva opplever innringeren?

For innringeren er det litt mer komplisert, men ikke så veldig forskjellig fra hvordan de ville brukt eID-en sin i en hvilken som helst annen situasjon.

Avhengig av eID-en, vil de først se et push-varsel på telefonen der de blir bedt om å starte autentiseringsprosessen.

Som en del av dette trinnet kan de også bli bedt om om å bekrefte om de faktisk har ringt selskapet. Dette bidrar til å forhindre innkommende svindel og gir innringeren en sjanse til å avbryte flyten om nødvendig.

Hvis innringeren godtar forespørselen, er resten en velkjent prosess: Innringeren bruker sin nasjonale eID-app for å verifisere seg som normalt.

Deretter kan innringeren snakke med kundesenteret, etter å ha bevist sin identitet.

Hva skjer bak kulissene?

Kort sagt: En hel masse.

Autorisasjonsserveren håndterer hoveddelen av prosessen, og videresender forespørsler og varsler mellom de to andre partene.

Flyten ser omtrent slik ut:

1. Når agenten setter i gang noe på sin side, mottar autorisasjonsserveren en autentiseringsforespørsel med blant annet innringerens identifikator.
2. Serveren svarer med en unik "autorisasjonsforespørselsidentifikator" som bekreftelse og for å kunne spore forespørselen.
3. Serveren videresender forespørselen til innringerens enhet og ber vedkommende om å autentisere seg.
4. Når innringeren har autentisert seg, videresender serveren dette til agentens system i form av spesielle tokens som beviser innringerens identitet.

For en mer teknisk gjennomgang, se: En introduksjon til klientinitiert bakkanalautentisering (CIBA)

Hva trenger du for å komme i gang?

Hvis bedriften din ønsker å implementere eID-basert innringerautentisering, trenger du noen få ting:

• Kompatibel kundesenterplattform: Det eksisterende telefonsystemet ditt bør støtte CIBA-flyter.
• Kundeidentifikatorer: Du trenger en måte å matche innringeren med en unik identifikator som kan sette i gang prosessen.
• En eID-megler: I mange land krever eID-verifisering en sertifisert megler som Idura for å håndtere den juridiske og tekniske implementeringen.

Autentisering av innringere har utviklet seg mye siden de første sikkerhetsspørsmålene. Nasjonale eID-er er en fremtidssikker vei fremover.

Og det skader ikke at eID-bruken er nesten universell i Norden. Verktøyene du trenger, finnes allerede i kundenes lommer.