Caller Authentication: ett säkrare sätt att verifiera identitet

Att säkra en användares digitala konto kräver en enorm insats. Företagen implementerar starka e-legitimationslösningar, multifaktorautentisering och flera lager av kryptering. Varje digital åtkomstpunkt är skyddad.

Men sedan ringer samma användare företagets support...

För att styrka sin identitet kan de behöva uppge sin mors flicknamn, sitt första husdjur eller ett gatunamn. Den här typen av ”hemligheter” kan finnas till salu på darknet eller vara lättillgängliga på en publik Facebook-profil. På ett ögonblick hänger hela det avancerade kontoskyddet på en enda, skör tråd.

Telefonlinjens säkerhetsnivå matchar helt enkelt inte säkerheten online – och bedragare är medvetna om detta.

Varför säkerhetsfrågor är föråldrade

Problemet är de föråldrade processerna som medarbetarna på callcentrena tvingas följa.

I decennier var kunskapsbaserad autentisering - att ställa personliga frågor - branschstandard. Men den standarden håller inte längre, och här är varför:

• Personliga ”hemligheter” är inte längre hemliga. Information som födelseort eller skolnamn delas antingen frivilligt på sociala medier eller finns tillgänglig för några dollar i stora dataintrångspaketer. Svaren finns där ute.
• Det är en dålig användarupplevelse. Även legitima användare kan glömma vilket svar de gav för flera år sedan, vilket leder till ett frustrerande supportsamtal där de stängs ute från sitt eget konto.
• Röstbiometri är inte heller säkert. Vissa banker använder röstigenkänning för ökad säkerhet. Men med generativ AI kan en angripare nu skapa en övertygande deepfake-klon av en persons röst från bara några sekunders ljud hämtat från en video på sociala medier. Det som en gång var ett robust säkerhetslager blir allt lättare att kringgå.

Ett bättre sätt att verifiera identitet i telefonsamtal

Föreställ dig en enkel och säker process: medan kunden är i telefon skickar supportmedarbetaren en notis till kundens telefon.

Kunden trycker på notisen, vilket öppnar deras betrodda e-legitimationsapp. Därifrån godkänner de begäran på det vanliga sättet – med ansiktsigenkänning, fingeravtryck eller PIN-kod.

Det innebär att hela identitetskontrollen förflyttas från något som lätt kan stjälas (kunskap) till något som kräver fysiskt innehav. En angripare kan hitta personuppgifter online, men kan inte fysiskt interagera med användarens telefon för att godkänna en begäran i realtid. Att stjäla en telefon och samtidigt känna till PIN-koden eller biometriken kräver betydligt mer.

Autentisering via telefon har tillämpningar långt bortom att bara stoppa bedrägliga banköverföringar. Exempelvis: 

• Försäkring: En handläggare kan påbörja ett nytt ärende med säkerheten att de pratar med rätt försäkringstagaren.
• Telekom: SIM-swap-attacker – ett växande problem med allvarliga konsekvenser – kan förhindras.
• Sjukvård: En klinik kan säkerställa att känsliga patientuppgifter delas med rätt patient.
  

Hur det fungerar bakom kulisserna

Tekniskt sett bygger Caller authentication på en standard som kallas CIBA (Client Initiated Backchannel Authentication) – ett protokoll som låter en enhet (handläggarens dator) initiera autentisering på en annan enhet (användarens telefon).

Medarbetaren initierar begäran, men själva autentiseringen – där användaren bevisar sin identitet – sker i den säkra miljön i deras egen e-legitimationsapp. Inga hemligheter överförs via telefonen.

För en djupare genomgång av standarden, läs vår Introduktion till Client Initiated Backchannel Authentication (CIBA).

Skapa förtroende i telefonsamtal

Autentisering via telefon förhindrar att ett enkelt supportsamtal underminerar det förtroende ett företag har byggt upp med sina användare. Det säkerställer en konsekvent säkerhetsnivå, oavsett hur en kund väljer att kontakta företaget.

Är du redo att göra dina supportsamtal säkrare och smidigare?

Caller authentication finns tillgängligt med norskt och svenskt BankID, och danska MitID.

Börja testa gratis redan idag eller kontakta vårt säljteam för att veta mer.