La autenticación basada en el conocimiento , comúnmente conocida como KBA , es un método de autenticación que busca demostrar la identidad de alguien que accede a un servicio, como una institución financiera o un sitio web. Como sugiere el nombre, KBA requiere el conocimiento de información privada del individuo para demostrar que la persona que proporciona la información de identidad es el propietario de la identidad. Hay dos tipos de KBA: KBA estática , que se basa en un conjunto de secretos compartidos previamente acordados, y KBA dinámica , que se basa en preguntas generadas a partir de una base más amplia de información personal. [1]
Los bancos, las empresas de servicios financieros y los proveedores de correo electrónico suelen utilizar KBA estático, también conocido como "secretos compartidos" o "preguntas secretas compartidas", para demostrar la identidad del cliente antes de permitir el acceso a la cuenta o, como medida de emergencia, si el usuario olvida su contraseña. En el momento del contacto inicial con un cliente, una empresa que utiliza KBA estático debe recopilar la información que se compartirá entre el proveedor y el cliente (normalmente, las preguntas y las respuestas correspondientes). Estos datos deben almacenarse para poder recuperarse únicamente cuando el cliente vuelva a acceder a la cuenta.
La debilidad de la KBA estática quedó demostrada en un incidente ocurrido en 2008 , en el que se obtuvo acceso no autorizado a la cuenta de correo electrónico de la exgobernadora de Alaska Sarah Palin . La contraseña de la cuenta de Yahoo! podía restablecerse utilizando preguntas secretas compartidas, como "¿dónde conoció a su cónyuge?", junto con la fecha de nacimiento y el código postal de la exgobernadora, cuyas respuestas estaban fácilmente disponibles en línea.
Algunos proveedores de verificación de identidad han introducido recientemente sonidos o imágenes secretas en un esfuerzo por ayudar a proteger los sitios y la información. Estas tácticas requieren los mismos métodos de almacenamiento y recuperación de datos que las preguntas secretas.
La KBA dinámica es un alto nivel de autenticación que utiliza preguntas de conocimiento para verificar la identidad de cada individuo, pero no requiere que la persona haya proporcionado las preguntas y respuestas de antemano. Las preguntas se compilan a partir de datos públicos y privados, como datos de marketing, informes crediticios o historial de transacciones.
Para iniciar el proceso, el consumidor debe proporcionar factores de identificación básicos como el nombre, la dirección y la fecha de nacimiento y verificarlos con un servicio de verificación de identidad . Una vez verificada la identidad, se generan preguntas en tiempo real a partir de los registros de datos correspondientes a la identidad individual proporcionada. Por lo general, los datos necesarios para responder las preguntas no están disponibles en la billetera de una persona (algunas empresas las llaman "preguntas fuera de la billetera"), lo que dificulta que alguien que no sea el propietario real de la identidad conozca la respuesta y obtenga acceso a información segura. Por lo general, el tiempo y la cantidad de intentos proporcionados para responder están limitados para evitar que se investiguen las respuestas.
El KBA dinámico se utiliza en varias industrias diferentes para verificar la identidad de los clientes como un medio de prevención de fraude y cumplimiento normativo. Debido a que este tipo de KBA no se basa en una relación existente con un consumidor, ofrece a las empresas una forma de tener una mayor seguridad de la identidad del cliente durante la apertura de la cuenta.