Home OutrosAnti-fraude O que é knowledge-based authentication (KBA)?

O que é knowledge-based authentication (KBA)?

by Karina Menezes
por que o KBA não é um método seguro de autenticação de identidade?

Qual o último endereço em que você morou? E o nome da sua comida favorita? Qual o nome do seu primeiro animal de estimação? Essas são algumas das perguntas que podem ser encontradas em um processo de knowledge-based authentication, também conhecido como KBA

Um dos métodos mais utilizados para autenticação de identidade, o KBA pode ser encontrado em diversos serviços, desde a checagem multifator realizada por instituições financeiras até a recuperação de senhas feita em endereços de e-mail.

O knowledge-based authentication requer o conhecimento de informação privadas do usuário – assim, ele pode provar que é realmente o proprietário daquela identidade. Mas será que o KBA é, de fato, um método seguro? 

Para serem consideradas “seguras”, as perguntas feitas durante um processo de KBA devem seguir alguns critérios, como terem apenas uma resposta correta, que seja facilmente lembrada pelo usuário. A resposta de um processo de KBA também não deve ser fácil de deduzir ou de encontrar online. Atualmente, existem dois tipos de KBA: 

KBA estático

No KBA estático, os questionamentos são feitos com base em informações coletadas previamente do usuário, procedimento que acontece já no formato de perguntas e respostas – ou seja, é um grupo acordado de informações compartilhadas pelo próprio cliente. 

KBA dinâmico

Já o KBA dinâmico não requer que o negócio tenha coletado previamente as informações do usuário. Todas as perguntas feitas são tiradas de bases de dados públicas e privadas e checadas com serviços de verificação de identidade. No modelo dinâmico, as perguntas são geradas em tempo real – portanto, o usuário não tem ideia de quais questionamentos terá que responder. 

Veja os motivos pelos quais o KBA não é seguro

O KBA parte da premissa de que somente o usuário teria acesso às suas informações de autenticação – além disso, a pergunta seria tão personalizada que seria praticamente improvável esquecer a resposta. Certo? Bom, talvez não, especialmente se considerarmos a quantidade de informações e senhas que os usuários precisam memorizar, diariamente. 

Esse método também desconsidera os avanços do cibercrime e a facilidade com a qual as informações pessoais dos usuários podem ser encontradas online, resultado dos crescentes vazamentos de dados. Segundo a Norton, somente em 2019 foram 4.1 bilhões de cadastros expostos

Ainda existe uma outra questão a ser considerada: a falsa sensação de segurança das perguntas “personalizadas”. Segundo este artigo do New York Times, elas podem não ser tão pessoais assim. Nele, a pesquisadora Anne Diebel compartilha a descoberta de um estudo do Google, feito em 2015 – somente 47% das pessoas entrevistadas lembravam o que elas haviam respondido ser a sua comida favorita no ano anterior. 

E o mais preocupante é que os hackers conseguiam deduzir a resposta em 20% das vezes, sendo que “pizza” era a comida mais mencionada nos Estados Unidos. Ainda assim, Anne pontua que esse tipo de checagem continua sendo utilizado por gigantes da tecnologia como Facebook e Amazon, em seus processos de autenticação multifator. 

Abaixo, veja mais quatro motivos pelos quais o KBA não pode ser considerado um método seguro de verificação de identidade: 

É muito fácil encontrar informações nas redes sociais

Basta uma pesquisa rápida para ver o quanto colocamos das nossas vidas pessoais nas redes sociais. Portanto, as respostas de um processo de knowledge-based authentication podem ser mais fáceis de serem encontradas do que a sua empresa imagina. 

Também é fácil encontrar informações online, ilegalmente

Os crescentes vazamentos de dados fazem com que o mercado ilegal de compra e venda de informações pessoais seja alimentado regularmente. Além disso, após o hackeamento de um site, outros websites têm o seu sistema fragilizado. Isso porque a mesma senha acaba sendo utilizadas diversas vezes, em locais diferentes. 

Ele impacta negativamente a experiência do usuário e aumenta o abandono de cadastro

Adicionar mais um procedimento durante o cadastro e login pode levar o usuário a abandonar esses processos. O ideal é buscar formas e soluções de verificação de identidade que ajudem a balancear segurança e usabilidade, reduzindo assim o dropout

Pode trazer obstáculos desnecessários às ações dos usuários

A empresa precisa encontrar uma forma de equilibrar também as situações onde a autenticação de identidade são realmente necessárias, para que não atrapalhem a experiência do usuário dentro da plataforma. 

Agora que você já sabe quais são os pontos falhos do KBA como uma passo de autenticação de identidade, que tal conhecer outras formas que as empresas têm utilizado para checar a veracidade da identidade de seus cliente? 

Entre em contato com os nossos especialistas e saiba como você pode acrescentar segurança e rapidez em seus procedimentos de validação de identidade

Related Posts

Loading Facebook Comments ...