Операция «Идентификация»: как защитить данные клиентов при авторизации

Вход в аккаунт на сайте или в приложении по логину и паролю кажется пользователям привычным и достаточно надёжным способом авторизации. Но утечка информации – не редкость. Чтобы этого не произошло, нужны дополнительные меры безопасности, например, подтверждение через SMS-код или звонок, что вход в аккаунт осуществляет именно владелец, а не посторонний человек. О том, какими способами можно обезопасить данные своих клиентов от взлома, руководитель отдела маркетинга компании Unibell Елизавета Косилова рассказала порталу Biz360.ru.

Дополнительная авторизация помогает усиливать защиту данных ваших клиентов. Но важно выбрать метод, который будет и удобным, и безопасным. 

Какие системы существуют? Сегодня доступно несколько способов, и каждый подходит для определённых ситуаций. Рассмотрим подробнее существующие варианты. 

Простой и быстрый метод: клиент получает одноразовый код, вводит его – и готово. Хорошо работает для подтверждения небольших операций. 

Пример. Клиент заехал на АЗС, у него есть бонусная карта сети, которая находится в приложении. Чтобы авторизоваться в приложении, требуется ввести номер телефона и далее поступает SMS с одноразовым кодом. После его ввода открывается приложение и доступ к разделу с бонусной картой. 

Плюсы: 

• простая реализация;

• удобство для массового пользователя. 

Минусы:

• уязвимость к перехвату через фишинговые атаки;

• высокая стоимость. Например, для компаний с 10 000 запросов в месяц расходы могут составить десятки тысяч рублей;

• возможны задержки в доставке сообщений. 

Резюме. SMS-коды подходят для стартапов или небольших компаний, где важен быстрый запуск, но со временем они становятся финансово невыгодными и менее безопасными. 

При запросе системы проверки клиенту поступает звонок на его номер. Робот во время звонка диктует код из четырёх цифр или кодовое слово. Пользователь вводит этот код или слово в форму на сайте или в приложении. 

Пример. Клиент хочет войти в личный кабинет, где хранятся данные о его заказах. Для подтверждения безопасности система отправляет звонок, робот диктует код, например «4356». Пользователь вводит цифры на сайте, и доступ к кабинету открывается. 

Плюсы: 

• звонок поступает мгновенно;

• высокая степень защиты;

• дешевле, чем SMS. 

Минусы: 

• пользователь может забыть или не расслышать код. 

Резюме. Voice Password востребован в финансовых и медицинских сервисах, где важна максимальная безопасность. 

Простая проверка: пользователь получает звонок, но не отвечает на него. Последние четыре цифры входящего номера и есть код для подтверждения личности. 

Пример. Покупатель находится в магазине и хочет списать на кассе накопленные бонусные баллы. Для этого продавец вводит его номер телефона в систему, после чего ему поступает звонок. Клиент диктует последние четыре цифры номера, с которого поступил звонок, и таким образом система сверяет личность покупателя и списывает бонусы. 

Плюсы: 

• дешевле, чем SMS;

• пользователю не нужно вводить код. 

Минусы: 

• зависимость от качества связи;

• операторы могут блокировать такие звонки;

• некоторых пользователей могут насторожить звонки с международных номеров. 

Резюме. Flash Call особенно эффективен для бизнеса с большими клиентскими базами, где важна оптимизация затрат. 

Call me – это способ авторизации, при котором пользователю нужно просто совершить вызов на выделенный бесплатный номер. Система фиксирует факт звонка, сверяет данные и подтверждает личность.

Пример. Клиент хочет войти в приложение для бронирования авиабилетов. После ввода логина и пароля система предлагает сделать звонок на специальный бесплатный номер для подтверждения личности. После того, как звонок поступил, пользователь входит в приложение. 

Плюсы: 

• дешевле, чем SMS;

• безопасность передачи данных. 

Минусы: 

• необходима дополнительная интеграция системы Call me с приложением или сайтом компании с помощью технических специалистов.

Резюме. Этот метод выгоден для крупных компаний, где важна безопасность данных и необходимо снизить расходы на каждую транзакцию. 

Это комбинация нескольких проверок: сначала поступает звонок, где робот диктует код. Если абонент недоступен или не ответил, дополнительно приходит SMS-код. 

Пример. Клиент совершает заказ в интернет-магазине. Для подтверждения покупателю поступает звонок, но он не успел ответить. В этом случае отправляется SMS с кодом, после его ввода происходит сама покупка. 

Плюсы: 

• гарантируемая доставка кода;

• пользователь всегда может авторизоваться, даже при проблемах со связью. 

Минусы: 

• Высокие расходы на SMS-сервис.

Резюме. Данный тип аутентификации актуален для сервисов, где важна надёжность. 

Исходя из нашего опыта, самые надёжные и эффективные системы авторизации – это Voice Password (авторизация через продиктованный код), Call Me (звонок на выделенный номер) и каскадная авторизация. Во-первых, они минимизируют риски, связанные с перехватом данных. Во-вторых, обеспечивают более высокую защиту от фишинговых атак, так как взаимодействие происходит в закрытых каналах связи. И наконец, данные системы авторизации предлагают пользователям более быстрые и удобные способы подтверждения личности. 

• Думайте о клиенте. Если процесс проверки будет слишком сложным, пользователи начнут жаловаться или отказываться от покупки. Авторизация должна быть лёгкой и понятной.
  
  

• Обучите сотрудников. Даже лучшая система не спасёт, если оператор или другой сотрудник случайно раскроет данные злоумышленнику. Убедитесь, что ваша команда знает, как работать с конфиденциальной информацией.
  
  

• Защищайте данные клиентов. Взломы данных происходят регулярно; чтобы клиенты вам доверяли – нужно обеспечить конфиденциальной информации о них надёжную защиту с помощью современных сервисов и технологий. 

Авторизация – это больше, чем проверка данных. Это инструмент, который помогает вашему бизнесу быть надёжным партнёром для клиентов. Чем увереннее люди чувствуют себя, взаимодействуя с вашей компанией, тем выше их лояльность.

Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал, страницу в «ВКонтакте» и канал на «Яндекс.Дзен».
biz360