Si encuestas a cualquier grupo de 100 profesionales de la seguridad, te resultará difícil encontrar uno que defienda las contraseñas como una herramienta de autenticación viable y segura. Desde esa perspectiva, no es sorprendente que Visa haya dicho oficialmente que dejará de usar contraseñas estáticas para su programa de comercio electrónico Verificado por Visa.
Lo que sorprende es la sincronización de la marca de tarjetas más grande del mundo. La promesa de abandonar las contraseñas solo para este programa no era hacerlas desaparecer para la temporada de compras navideñas de este año. O para la temporada de compras navideñas del próximo año. No, el plan anunciado de Visa era librar a su mundo Verificado por Visa de «contraseña 1234» para abril de 2018. Es bueno ver que este riesgo de autenticación se está tomando tan en serio.
Para ser justos, cambiar una técnica de autenticación requiere que muchas empresas realicen cambios en el sistema. Y cuando eres tan grande como Visa, solo en el último trimestre, Visa dijo que procesó 19.8 mil millones de transacciones, estas cosas llevan tiempo. Pero aún así, ¿abril de 2018?
«Este tipo de iniciativas son bien intencionadas, pero mal ejecutadas», dijo el CEO de Sift Science, Jason Tan. «El mayor obstáculo son ellos mismos, su inercia.»
¿Cuál será el estándar de facto?
El corte remoto de contraseñas de Visa le da a la marca de la tarjeta mucho tiempo para ver hacia qué método de autenticación se dirige la industria. Personalmente, hubiera preferido un poco más de liderazgo de Visa para señalar a qué se trasladará y argumentar por qué todos deberían seguirlo.
Visa habló de los esfuerzos que está apoyando para reemplazar las contraseñas estáticas, pero estaba lejos de ser explícito en cuanto a su forma final preferida.
Dicho esto, Visa se ha dado cuenta de la realidad del comercio electrónico, que es que la autenticación debe evitar ser invasiva e interrumpible en la medida de lo posible. Reconoció que el esfuerzo de contraseña de hoy en día puede entregar compras abandonadas, diciendo: «El proceso de inscripción para contraseñas estáticas verificadas por Visa específicas puede introducir fricción y desviar a los titulares de tarjetas del sitio web del comerciante. También agregó que los compradores a menudo olvidan las contraseñas y que las contraseñas «pueden dar a los ladrones una forma de registrar una contraseña en nombre del titular de la tarjeta.»
Visa ahora está adoptando los enfoques intensivos en datos que se están volviendo populares hoy en día, donde los sitios aprovechan los vastos océanos de datos que los consumidores, especialmente aquellos que usan un dispositivo móvil, traen consigo durante cada viaje de compras. Esto, dijo Visa, » también permitirá una mejor experiencia para los consumidores al proporcionar a los emisores más datos, datos que se pueden usar en el proceso de decisión para que no se rechacen las transacciones legítimas. también dará a los comerciantes la capacidad de integrar mejor la autenticación en sus procesos de pago para una experiencia de compra más fluida para el consumidor.»
El Tan de Sift Science está de acuerdo en que un enfoque basado en datos es mejor. Muchos de los métodos de autenticación de comercio electrónico de hoy en día introducen » mucha fricción innecesaria. La gran promesa del sistema de aprendizaje automático es que podemos poner a trabajar una gran cantidad de datos», dijo.
«no pida las credenciales por adelantado. Revisa en segundo plano», explicó Tan, y agregó que «poner la responsabilidad en el cliente» es una idea terrible cuando los análisis pueden hacer una evaluación mucho más precisa por sí solos. Si el software ve puntos de datos conflictivos, siempre se pueden buscar credenciales más adelante, pero solo en los pocos casos en que se necesiten.
Complejidad de IoT
Visa también se refirió al movimiento de Internet de las cosas, haciendo referencia a «nuevos tipos de dispositivos, como automóviles y refrigeradores conectados.»Tales transacciones inicialmente empujarán la parte de compra / licitación de las transacciones a un dispositivo móvil cercano, donde se tratará como cualquier otra transacción móvil.
CarPlay de Apple, por ejemplo, ya integra un gran número de funciones móviles en el salpicadero de un automóvil. Con ese trabajo hecho, permitir que ApplePay pague las transacciones será mucho más fácil, ya sea comprar instantáneamente una canción que acaba de sonar a través de Pandora o Spotify, o pagar la gasolina o una comida en una parada de descanso.
Sin embargo, con el tiempo, los dispositivos IoT tendrán pantallas lo suficientemente grandes como para realizar sus propias transacciones. Sube el termostato un par de veces y puede aparecer un anuncio de suéteres o un calentador de espacio. En ninguna parte la facilidad y la velocidad de la transacción serán más esenciales que realizar una compra en un refrigerador, un termostato o un reloj.
Las compras se están moviendo rápidamente de la tienda a la internet de las cosas y, finalmente, al IoT – y todo eso se está alimentando abrumadoramente por la velocidad y la comodidad. ¿Por qué un comerciante querría hacer que la interacción con el cliente sea más lenta y ardua de lo que absolutamente necesita ser?