KBA: o que é Knowledge Based Authentication e por que não é seguro?

Você sabe o que é KBA e por que a sua utilização não é adequada? Recentemente, a segurança dos dados tem sido uma prioridade entre as empresas, independentemente do nicho de atuação. Devido à LGPD, Lei Geral de Proteção de Dados, qualquer falha pode desencadear em multas para o negócio, além de ser um risco para a credibilidade da organização.

Nesse sentido, existe a necessidade de buscar alternativas que proporcionam menores riscos para o seu público, uma vez que apenas as senhas nem sempre são eficientes para evitar ataques. O KBA, em um cenário como esse, se torna uma das alternativas para o negócio, mas não é a melhor solução.

Neste material, a gente explica um pouco mais sobre o tema, além de ressaltar quais são os outros métodos que devem ser preferidos em substituição ao KBA. Continue a leitura e saiba mais!

O que é KBA?

O KBA, abreviação para knowledge-based authentication, é um processo de autenticação que contribui para trazer mais segurança a um site, aplicativo, entre outros canais que exigem a confirmação de identidade do usuário. Certamente, você já se deparou com algumas “perguntas secretas” em redes sociais ou em outras plataformas.

“Qual o nome do primeiro animal de estimação?”, “Qual o nome de sua primeira professora?”, “Qual é a sua comida preferida?”, são apenas algumas das opções que precisam ser respondidas para o usuário. Essa resposta é solicitada quando a pessoa precisa entrar no canal ou, ainda, quando ela esquece a sua senha e precisa recuperá-la. Trata-se de uma etapa cujo objetivo é fornecer “segurança”.

Porém, se nem as senhas com diferentes caracteres e símbolos, por si só, não é segura, quanto mais uma pergunta que traz os riscos de qualquer outra pessoa saber a resposta, não é verdade?

Apesar de o KBA contar com alguns critérios, como a necessidade de ter apenas uma resposta correta e que seja facilmente lembrada pelo usuário, é importante que a instituição busque por outras alternativas que “dificultam a vida” dos atacantes.

Quais são os principais tipos de KBA?

Existem dois tipos de KBA: o estático e o dinâmico. A seguir, a gente explica melhor sobre eles. Veja!

KBA estático

No caso do KBA estático, como o próprio nome já diz, requer apenas uma resposta. Não vai se alterar. Para isso, a empresa precisa solicitar o retorno do usuário antes de ele fazer o cadastro no site. Bem parecido com os exemplos que apresentamos mais acima: o cliente responde a pergunta em questão e, sempre que necessário, o canal vai solicitá-lo o preenchimento correto.

KBA dinâmico

No caso do KBA dinâmico, não vai haver nenhum tipo de consulta prévia por parte da empresa. Isto é, o cliente não vai responder a perguntas para que seja questionado futuramente sobre qual é a resposta correta. Mas como isso é feito, então?

As perguntas feitas são retiradas da própria base de dados do cliente, seja ela pública, seja ela privada. Também muito comum entre as empresas, e pode ser realizado de diferentes maneiras.

Há a oportunidade, por exemplo, de apresentar em múltipla escolha, como o tópico a seguir:

“Qual é o primeiro nome de sua mãe?

1. Maria
2. Joana
3. Tereza
4. Clara”

Porém, nesse caso, o ideal é que mais de uma pergunta seja feita. Assim, quem não sabe a resposta, dificilmente tem a possibilidade de acertar mais vezes. Ou seja, a pessoa não vai fazer ideia do que precisará responder.

Quais são as aplicações do KBA?

Algumas das principais aplicações do KBA são as seguintes:

• se o cliente tiver esquecido as combinações de sua senha, é preciso que ele responda ao questionamento previamente solicitado (ou a uma pergunta dinâmica) para que consiga dar prosseguimento no processo de recuperação;
• para instituições financeiras, o KBA pode ser solicitado sempre que precisar realizar uma transação financeira;
• se a pessoa desejar fazer qualquer alteração cadastral que possa comprometer os acessos no futuro, também pode ser exigido uma segunda autenticação para a continuidade;
• em call centers, esse tipo de processo também pode ser exigido para que o atendimento tenha ciência de que se trata da pessoa que se diz no contato, entre outros.

O KBA é seguro?

Já trouxemos a resposta neste material, mas não custa reforçar: não, o KBA não é seguro.

Informações presentes nas redes sociais

Pessoas que realizam ataques e fraudes têm experiência nesse tipo de autenticação. Nesse sentido, há a possibilidade de ele ter acesso a todas as redes sociais do usuário, coletando algumas informações importantes, normalmente cedidas pela própria pessoa.

O nome do primeiro animal de estimação, primeira professora, data de nascimento de alguém da família, nome da mãe… tudo facilmente encontrado em qualquer canal, uma vez que há o hábito de divulgar diferentes comemorações, confraternizações e relembrar momentos especiais da vida.

Sendo assim, um hacker não vai tentar entrar na conta da pessoa “no escuro”. Pelo contrário. Só vai prosseguir com o golpe quando já tiver estudado suas informações e dispor de dados importantes para conseguir concluir com o cibercrime.

Obter dados de forma ilegal

Nos últimos anos, podemos observar alguns vazamentos de grandes empresas, inclusive do Facebook. Quando ocorrem essas situações, há criminosos que coletam esses dados para vendê-los de maneira ilegal. Nesse sentido, há a oportunidade de hackers encontrarem essas informações por esse meio, o que facilita ainda mais para a resposta correta do KBA.

Dificulta a experiência do usuário

Ter atenção quanto à experiência do usuário deve ser uma das prioridades de qualquer empresa, seja de qual nicho de atuação for. Entre os diferenciais de oferecer uma experiência positiva, destacamos:

• custos de desenvolvimento reduzidos, uma vez que vai haver uma maior satisfação por parte de seu público em relação ao seu site;
• custos de atendimento reduzidos, justamente pela chance maior de a pessoa encontrar tudo o que precisa sem necessariamente recorrer a um suporte;
• aumento das vendas;
• possibilidade de ampliar o marketing boca a boca, quando os próprios clientes divulgam seus produtos e serviços.

Se você colocar muitos obstáculos para que a pessoa conclua o seu cadastro, aumentam as possibilidades de ela abandoná-lo e prosseguir para a concorrência.

Hoje, a competitividade é grande. Quanto mais você dedicar esforços para a satisfação de seu público, melhores serão os resultados, sendo esse um diferencial para a organização conquistar e fidelizar os clientes.

Nesse sentido, o ideal é buscar por soluções tecnológicas que ampliam a credibilidade da empresa e ao mesmo tempo traz facilidades para quem acessa. É o caso do reconhecimento facial, que abordaremos a seguir.

Por que utilizar o reconhecimento facial em vez do KBA?

O reconhecimento facial é uma das estratégias mais inteligentes quando se trata de segurança para as empresas. Em outros materiais, chegamos a mencionar que utilizar apenas uma senha não é o ideal, uma vez que as pessoas colocam combinações fracas e fáceis de serem violadas. Neste conteúdo, você pôde perceber ainda que o KBA não oferece tanta segurança quanto deveria, o que levaria a empresa a buscar por outra alternativa no mercado.

No caso do reconhecimento facial, trata-se de um software cujo objetivo é o mapear as características faciais de uma pessoa, na qual vai haver o armazenamento de dados como uma impressão facial. Isso ocorre devido aos algoritmos que comparam a imagem real com a imagem armazenada, o que contribui para a identificação do usuário.

O seu funcionamento é simples. Entre as etapas do processo, ocorrem:

• registro da imagem do usuário por meio de uma câmera comum;
• registro enviado para um sistema;
• leitura feita por esse sistema de forma detalhada do rosto;
• informações captadas e codificadas em uma sequência numérica digital;
• um banco de dados arquiva essas informações;
• é formada a identidade facial no sistema.

Ou seja, não há possibilidade de um hacker utilizar de dados do usuário para tentar fraudar ou de descobrir as suas informações, uma vez que se trata de uma tecnologia segura que depende exclusivamente da pessoa para executar qualquer tipo de processo e dar continuidade nas etapas, independentemente do objetivo.

Neste material, você pôde entender o que é o KBA, por que ele é um risco para o negócio, além de conferir como o reconhecimento facial pode contribuir nesse sentido.

Se você ficou em dúvidas sobre o reconhecimento facial e deseja conferir mais informações sobre a solução e os ganhos que ela traz para o seu negócio, é só entrar em contato com a gente. Nosso time de especialistas vai ter o maior prazer em apresentar a ferramenta e explicar suas funcionalidades.