一般来说,安全供应商喜欢消费者调查,在调查中,消费者表示他们永远不会与安全性差的零售商或银行做生意。但从历史上看,消费者是自己行为的糟糕预测者,他们也倾向于告诉零售商和银行他们想听的话,而不是真相。
根据许多遭受过公共数据泄露的公司提交的公共财务文件,事实是,消费者——部分由于支付卡公司的零责任计划——在这种数据泄露发生时,往往不会改变零售商或银行。为什么?有很多原因。首先,零负债确保他们不会损失任何钱(实际上,它将损失限制在50美元以内,但几乎没有企业会强制执行这一规定,而且他们往往会吃掉所有消费者的损失)。如果消费者从受到侵害的零售商或银行损失了大量的钱,是的,他们会逃离,但这不会发生。
然后你会发现,消费者通常不会读到这些违规信息,即使他们读到,他们也往往不会在意。如果一家商店提供他们想要的产品或服务,而且价格合理,他们不会因为9个月前的一次数据泄露而放弃这家零售商,那次泄露最终没有影响到消费者。至于消费者在调查中撒谎,那只是他们想要传达的信息。这些消费者希望零售商/银行保护他们的钱,所以他们会兴高采烈地在“我将放弃一家安全性不高的零售商”的方框上打钩,因为,为什么不呢?他们没有义务做任何事。
我之所以提出这个问题,是因为本周我收到了两份调查报告。身份提供商Ekata报告称,“如果他们是诈骗的受害者,欧2蓝冠注册%的人将不再使用平台。”不正确的。假设调查是准确的,这只是意味着绝大多数消费者在填写调查问卷时会这么说,而不是说他们真的会放弃这个平台。这是供应商的一厢情愿。
提示对于任何CISO /方案或领导人被安全厂商推销使索赔,消费者会放弃零售商或银行(支付卡处理器和卡品牌不同的情况):要求销售代表的名字已经违反了任何上市零售商或银行,然后遭受显著数量的客户离开。然后登录美国证券交易委员会的数据库,查阅该公司的季度备案文件,看看它是否报告了任何与漏洞相关的损失。你找不到的。这种观点在调查中行得通,但在现实世界中行不通。
部分原因是离场摩擦。简单的事实是,这是一个麻烦改变银行——以及更多的服务消费者使用,越难离开,痛苦开关零售商(因为客户最可能喜欢的商品和价格和便利,否则不会重复,长期客户)。我为Visa和Mastercard破例,因为从一种信用卡切换到另一种信用卡几乎没有摩擦。而主要的加工商一旦违约就会赔钱,因为抛弃它们的是其他企业,而不是消费者。
这就引出了我办公桌上的第二件事。这是一份来自Iovation公司的调查报告,Iovation是一家欺诈检测供应商。该调查发现,“接近三分之二(64%)的人同意,他们将把金融机构/信用卡公司换成拥有更先进的安全协议的公司,而61%的人同意,他们将把公司换成对他们来说更容易安全的公司。”
“使安全更容易”是一个有趣的观点,我稍后会回到这一点。但消费者说“他们会把金融机构或信用卡公司换成拥有更先进安全协议的公司”,这是个大问题。具体来说,绝大多数消费者对金融机构或支付卡公司的安全协议一无所知。你最后一次看到消费者对金融机构进行笔录测试,获取该公司的法医报告,或与该机构的CISO进行宣誓作证是什么时候?
银行有充分的理由尽可能长时间地对其安全计划的细节保密。那么,消费者怎么能声称自己是基于他们无法获取的信息而转行的呢?
底线是他们不能。但是——这正是该报告的主要作者、Iovation产品营销经理莫莉•赫茨(Molly Hetz)的有益观察——这些消费者可以根据他们对安全的感知做出这样的决定。这就是事情变得棘手的地方。
考虑:今天最好的安全性和身份验证方法之一是连续的身份验证,系统认为打字速度,输入压力(移动设备)、IP地址、时间的访问,哪些文件被访问时,会话期间,打字准确性(每分钟输入错误的数量),等等,比较所有的概要文件的一个会话,大概是与相关的实际用户凭证。连续身份验证最好的一点是它确实是连续的,这意味着理论上它不会被攻击者愚弄,攻击者在10分钟内正确地完成了所有任务,然后做了攻击者一直计划要做的坏事。
我喜欢持续的身份验证。它远比密码,别针,生物识别技术(至少面部等流行的生物识别技术,指纹和语音识别,而不是我最喜欢的,眼睛扫描)和多因素身份验证(MFA,通常容易受到中间人攻击,特别是在数字代码发送到移动设备通过一个文本)。
持续身份验证的优点之一是它对用户是透明的,这意味着它不会产生摩擦,根本不会延迟或损害用户。但是Hetz提出了一个合理的论点,当金融机构使用这种无摩擦的认证机制时,用户不会看到它。当用户没有看到安全方法时,他们很可能会认为没有安全方法。这是一个典型的安全矛盾:使用更安全的方法可能会导致用户认为这是一个不太安全的方法,因为这些用户副摩擦——跳过大量可见的步骤,如“点击所有的图像有一个路牌”——作为一个迹象表明,金融机构实际上是试图保护他们的钱从坏人。
Hetz说,金融机构“需要一些看得见的安全措施,因为如果[用户]没有看到任何可以证实这种安全的东西,”用户就会认为这种安全措施不存在。
但是这份报告中还有一些没有上下文的地方是不正确的。例如:“服务费用低(62%)和良好的客户服务(55%)仍然很重要,但很明显,隐私和安全需求必须首先解决。”
客户换银行是有原因的,他们留下来也是有原因的。使用的银行服务越多(例如,在线账单支付),转换银行就越困难。顾客想:“啊!如果我切换,我必须手动重新输入所有我支付的公司的所有细节。我花了几个月的时间才最终完成了这份清单。”或者考虑一下目前金融机构使用的一些更复杂的机器人。客户在该金融机构的账户越多(支票、储蓄、抵押、退休、信用卡、借记卡、ACH或Venmo或Zelle支付的穿梭账户等),这些机器人就越有帮助。同样,它使客户选择移动帐户变得更加困难。
让我们再来看看这个调查的答案。高昂的服务费用和糟糕的客户服务绝对是压倒离开痛苦担忧的理由,但对隐私和安全的认知不太可能让改变变得值得。例外情况(实际上并不是例外)是客户的银行帐户实际上是通过欺诈被取空的,并且客户的银行花了很长时间来补充帐户,并且在要求更新状态时没有响应。但这不是一个安全问题,而是一个客户服务问题。是的,糟糕的客户服务绝对会迫使客户离开。
另一个例子:“接近三分之二(64%)的人同意他们会把金融机构/信用卡公司换成有更先进的安全协议的公司,而61%的人同意他们会把公司换成让他们更容易安全的公司。”是的,不太喜欢。根据赫茨的观点,消费者完全可以感觉到——可能有效,也可能无效——当前金融机构的安全性很弱。但消费者如何才能对他们尚未使用过的金融机构产生安全感呢?最好的情况下,欧2蓝冠注册他们可以看到来自其他机构的营销声明(我认为我们甚至不需要处理这些安全声明是多么的没有价值),他们可以听到来自其他消费者的口头评论,他们可能对安全的准确感知更少。
这一结论需要对调查结果进行非常慷慨且自私的解释。