Qual o último endereço em que você morou? E o nome da sua comida favorita? Qual o nome do seu primeiro animal de estimação? Essas são algumas das perguntas que podem ser encontradas em um processo de knowledge-based authentication, também conhecido como KBA.
Um dos métodos mais utilizados para autenticação de identidade, o KBA pode ser encontrado em diversos serviços, desde a checagem multifator realizada por instituições financeiras até a recuperação de senhas feita em endereços de e-mail.
O knowledge-based authentication requer o conhecimento de informação privadas do usuário – assim, ele pode provar que é realmente o proprietário daquela identidade. Mas será que o KBA é, de fato, um método seguro?
Para serem consideradas “seguras”, as perguntas feitas durante um processo de KBA devem seguir alguns critérios, como terem apenas uma resposta correta, que seja facilmente lembrada pelo usuário. A resposta de um processo de KBA também não deve ser fácil de deduzir ou de encontrar online.
Continue a leitura abaixo e entenda o que é KBA, como funciona e seus tipos!
O que é KBA?
O KBA (Knowledge-Based Authentication) é um método de autenticação baseado em conhecimento que permite identificar o usuário através de um questionário com perguntas de cunho pessoal. Esse processo usa informações que somente a pessoa sabe e, por isso, acontece a validação de identificação na hora de realizar o cadastro.
Sendo assim, esse método fará perguntas variadas, como primeiro emprego, nome da mãe, endereço, cor favorita, entre outras opções. Geralmente, o KBA entra em ação quando o usuário precisa logar em algum canal ou, também, quando o mesmo esquece a sua senha e precisa recuperá-la. Ou seja: é um processo que tem o objetivo de oferecer segurança.
Porém, mesmo o KBA contar com alguns critérios de segurança, como ter uma única resposta correta e que o usuário lembre facilmente, é importante que a instituição busque por outras soluções para redobrar a segurança da empresa e de seus usuários.
Como funciona o KBA?
Para que o KBA cumpra o prometido, é essencial que o usuário já tenha respondido às perguntas presentes nos questionários em algum momento – como em um cadastro inicial, por exemplo. Atualmente, o KBA é aplicado em sotes governamentais, já que esses portais conseguem confirmar que aquela pessoa é quem realmente diz ser.
Essas informações específicas solicitadas no KBA também auxiliam a pessoa a recuperar a senha, já que essas perguntas podem ser aplicadas para comprovar seu acesso e, assim, provar que se trata ser mesmo o usuário e não um fraudador.
Saiba mais: Veja 3 indícios de quando sua empresa precisa de automação de cadastro de clientes
Principais tipos de KBA
Basciamente, há dois tipos de KBA: o estático e o dinâmico. Entenda melhor abaixo como cada um funciona!
KBA estático
No KBA estático, os questionamentos são feitos com base em informações coletadas previamente do usuário, procedimento que acontece já no formato de perguntas e respostas – ou seja, é um grupo acordado de informações compartilhadas pelo próprio cliente.
KBA dinâmico
Já o KBA dinâmico não requer que o negócio tenha coletado previamente as informações do usuário. Todas as perguntas feitas são tiradas de bases de dados públicas e privadas e checadas com serviços de verificação de identidade. No modelo dinâmico, as perguntas são geradas em tempo real – portanto, o usuário não tem ideia de quais questionamentos terá que responder.
Leia também: Prova de vida: o que é, quais tipos existem e como ajuda na segurança da sua empresa?
Motivos pelos quais o KBA não é seguro
O KBA parte da premissa de que somente o usuário teria acesso às suas informações de autenticação – além disso, a pergunta seria tão personalizada que seria praticamente improvável esquecer a resposta. Certo? Bom, talvez não, especialmente se considerarmos a quantidade de informações e senhas que os usuários precisam memorizar, diariamente.
Esse método também desconsidera os avanços do cibercrime e a facilidade com a qual as informações pessoais dos usuários podem ser encontradas online, resultado dos crescentes vazamentos de dados. Segundo a Norton, somente em 2019 foram 4.1 bilhões de cadastros expostos.
Ainda existe uma outra questão a ser considerada: a falsa sensação de segurança das perguntas “personalizadas”. Segundo este artigo do New York Times, elas podem não ser tão pessoais assim. Nele, a pesquisadora Anne Diebel compartilha a descoberta de um estudo do Google, feito em 2015 – somente 47% das pessoas entrevistadas lembravam o que elas haviam respondido ser a sua comida favorita no ano anterior.
E o mais preocupante é que os hackers conseguiam deduzir a resposta em 20% das vezes, sendo que “pizza” era a comida mais mencionada nos Estados Unidos. Ainda assim, Anne pontua que esse tipo de checagem continua sendo utilizado por gigantes da tecnologia como Facebook e Amazon, em seus processos de autenticação multifator.
Abaixo, veja mais quatro motivos pelos quais o KBA não pode ser considerado um método seguro de verificação de identidade:
É muito fácil encontrar informações nas redes sociais
Basta uma pesquisa rápida para ver o quanto colocamos das nossas vidas pessoais nas redes sociais. Portanto, as respostas de um processo de knowledge-based authentication podem ser mais fáceis de serem encontradas do que a sua empresa imagina.
Também é fácil encontrar informações online, ilegalmente
Os crescentes vazamentos de dados fazem com que o mercado ilegal de compra e venda de informações pessoais seja alimentado regularmente. Além disso, após o hackeamento de um site, outros websites têm o seu sistema fragilizado. Isso porque a mesma senha acaba sendo utilizadas diversas vezes, em locais diferentes.
Ele impacta negativamente a experiência do usuário e aumenta o abandono de cadastro
Adicionar mais um procedimento durante o cadastro e login pode levar o usuário a abandonar esses processos. O ideal é buscar formas e soluções de verificação de identidade que ajudem a balancear segurança e usabilidade, reduzindo assim o dropout.
Pode trazer obstáculos desnecessários às ações dos usuários
A empresa precisa encontrar uma forma de equilibrar também as situações onde a autenticação de identidade são realmente necessárias, para que não atrapalhem a experiência do usuário dentro da plataforma.
Agora que você já sabe quais são os pontos falhos do KBA como um passo de autenticação de identidade, que tal conhecer outras formas que as empresas possuem para checar a veracidade da identidade de seus clientes?
A idwall conta com uma plataforma com todas as ferramentas e soluções integradas que ajudam na verificação de identidade do usuário, no gerenciamento de riscos e, também, na pesquisa de dados em mais de 250 fontes – tanto públicas como privadas.
Entenda: Como melhorar a experiência no cadastro de clientes com a idwall
Quer saber mais como podemos auxiliar a sua instituição no processo de onboarding digital e a barrar fraudes? Então converse com a nossa equipe e fique por dentro de tudo que oferecemos!