Gartner 发布首份《身份验证魔力象限报告》
2024-12-9 11:2:11 Author: www.freebuf.com(查看原文) 阅读量:11 收藏

身份验证在历史上主要是用于银行、赌博和加密货币等受监管的入职过程,但 COVID-19 引入了新的政府和劳动力相关的用例,包括防止欺诈。咨询公司 Gartner 的副总裁分析师 Akif Khan 表示,身份验证技术如今在像 Airbnb 这样的市场,上建立信任和防范勒索软件攻击方面发挥着重要作用。

Gartner 在其首份《身份验证魔力象限报告》中将 Entrust 、Incode 、Jumio 、Socure 和Sumsub 评为身份验证领导者。该报告侧重于一个,预计受益于数字互动增多、监管需求增加和欺诈防范要求提高的市场。

图片来源于ENTRUST官网

Khan 表示:“工作场所领域的一个主要趋势是,将身份验证(IDV)用作安全工具。在这方面,其中一个重要原因是,2023年9月份美高梅国际酒店集团遭遇勒索攻击事件,导致其损失超过了 1.1 亿美元,并且美高梅酒店、赌场的网络系统瘫痪,影响了其主要网站、在线预订系统,以及老虎机、信用卡终端和自动取款机等赌场服务。

而在此次攻击中,攻击者所利用的技术一点也不新鲜:他们冒充用户给公司IT服务台打电话,并通过社工手段诱使服务台代理重置凭证,随后利用这些登录凭证成功访问了相关服务。

Khan表示,由于缺乏标准,在目前市场上,企业用户很难区分身份验证厂商产品的准确性,因此厂商常常通过配置便利性、预构建集成和可访问性来凸显自身的优势,此外,工作流程定制工具及区域性文件支持使领先企业脱颖而出。

在供应商评估这方面没有标准化的测试或一致性,导致准确性的评估几乎不可能实现。即使是身为 Gartner 分析师的我,也无法确认哪家供应商在发现“一张假的美国驾照”方面会更好或更差。

Khan进一步表示,监管在塑造身份验证的采用情况方面起着重要作用,数据主权和可访问性法规会影响厂商的选择及运营策略。例如,一些组织要求个人身份信息必须保留在特定的特定辖区内,需要建立本地化的数据中心。未来,相关法规将进一步提高可访问性和合规标准。

Khan 设想从独立的身份验证流程转向使用便携式数字身份,即已在身份钱包中存储的经过验证的凭证。根据 Khan 的说法,这种变化将与多年来传统身份验证方法共存,随着政府倡议的推动,将推出美国移动驾驶执照和欧盟数字身份钱包等相应产品。

“下一次你开设银行账户或注册在线游戏时,你不再需要进行身份验证。并将使用已经经过验证的,在身份钱包中存储的身份来进行判断。”

尽管机器学习取得了进展,但 Khan 表示,在自动化系统无法准确地验证文件的场景中,人类在身份验证中发挥着关键作用。对于像德国这样的市场来说,这种“人在其中”的方法在合规上起着重要作用,但 Khan 表示,这会引发关于处理时间、成本和数据安全的担忧。

“在一些市场上,客户实际上需要人在其中。但在其他市场上,人在其中会导致问题,因为它会增加处理时间和成本。根据人的所在地,这可能意味着,尽管你的基地在这个地区,但如果你的供应商的人在另一个地区,你用户的个人身份信息将流经全球供应商检查。”

Gartner 将Incode Technologies 评为在身份验证方面愿景最完整的公司,Jumio 获得银牌,Entrust 获得铜牌,Sumsub 和AU10TIX 分别获得第四和第五名。从执行能力的角度来看,Persona 获得金牌,Sumsub 获得银牌,Socure 获得铜牌,Entrust 和Jumio 分别获得第四和第五名。

除了领先者之外,以下是 Gartner 对身份验证市场的看法:

畅想企业家:AU10TIX 、Mitek Systems;
挑战者:Persona;
小众玩家:1Kosmos 、GB Group 、Zoloz;
未入选公司:Advance.AI 、Daon 、ID-Pal 、IDWise 、Intellicheck 、Inverid 、Nametag 、Regula 和Veridas,这些公司未达到纳入收入标准。

Payments and Identity 总裁 Tony Ball 表示,通过收购 Onfido,Entrust 增强了欺诈检测和文档验证的人工智能能力。Onfido 的拖放工作流引擎增强了 Entrust 的灵活性和服务集成能力,而 Onfido 在便携和可重复使用身份上的投资与政府和金融机构日益增长的需求相一致。

Ball 表示,Entrust 通过利用人工智能和机器学习来实现抗偏见技术,以及通过生物特征活体检测和拖放工作流引擎来区分自己。 Entrust 计划提高自动化率,同时保持对人工干预的灵活性。它将支持金融机构从公平的客户入职到定制的身份工作流程的各个方面。

Gartner 批评 Entrust 在多年合同上的折扣率较低,在全球文档上收费比美国文档更高,身份验证检查通常需要人工。 Ball 表示,Entrust 的混合方法在自动化与必要的人工之间平衡,增加了效率和准确性。他说,在受监管的市场,合规和安全投资可以证明 Entrust 的定价合理。

Jumio 通过人工智能、机器学习和生物特征提高了身份验证的能力,公司全球系统处理着众多身份文档,并适应立法变化,首席营销官 Anna Convery 表示。 Convery 说,Jumio 之所以脱颖而出,是因为它在 200 多个国家和地区都有业务,并且拥有丰富的身份文档数据库。她说,Jumio 的创新和客户执行力的双重关注形成了一种平衡的策略,而竞争对手可能倾向于其中一方或另一方。她表示,Gartner 的认可反映了 Jumio 在快速发展的身份验证领域的领导地位。

Gartner 批评 Jumio 在配置易用性方面较低,在全球文档上的收费比美国文档更高,身份验证检查通常需要人工。她表示,通过更好地面向客户的配置来解决工作流程复杂性问题,人工干预通常是由法律或地理要求驱动的,并且高昂的定价反映了 Jumio 强大的工具。

Sumsub 专注于深度伪造检测和活体验证,以解决欺诈问题,为整个用户生命周期创建了一个综合的验证平台,并扩大了对电子和便携数字身份系统的使用,以取代传统基于文档的验证,首席增长官 Ilya Brovin 表示。

Brovin 说,该公司结合了基于人工智能的工具、大量的流量数据和人工监督,提高了其深度伪造检测的准确性。 Sumsub 的系统可以检测到数字人工的特征和合成图像中缺失的微小运动,从而与众不同。 Brovin 表示,Sumsub 通过集成入职、监测和合规检查的端到端验证解决方案区别于众。

Gartner 批评 Sumsub 在其产品路线图上没有关注身份验证特定功能,在生物身份匹配算法方面未发送专有算法给 NIST 机构,并没有自愿的产品评估模板。他表示,Sumsub 在VPAT 合规性和便携式数字身份系统方面取得了进展,并表示 NIST 认证的推迟是合理的,因为其范围有限且在美国以外的地区的相关性不大。

Brovin 说:“关于这些测试,通常在审核和范围上都非常狭窄。实际上,在现实生活中,我们使用的活体检测和深度伪造检测的方式要比这些测试所检查的范围广得多。我们始终与客户合作,对我们的活体检测解决方案进行现实生活中的质量控制,我们相信这提供了非常高质量的结果。”

Socure 正在引领身份验证领域的新方法,包括使用光学字符识别的增强文档验证、通过无监督机器学习进行预测分析,以及对抗深度伪造攻击的新方法,创始人兼首席执行官 Johnny Ayers 表示。该公司强调速度和准确性,最近在基于人脸的重新验证和跨语言文档处理方面取得了发展。

通过收购 Berbix,Socure 增强了文档验证的能力,实现了深度伪造检测和条形码验证,并且整合收购的技术团队加速了公司的创新流程,Ayers 表示。 Socure 市场领导地位源于该公司的技术优势以及其战略重点在美国为基础的全球业务,Ayers 表示。

他告诉 ISMG 说:“我们有能力只看一两份文档就能在任何国家进行训练,之前你可以使用模板。现在我们可以使用 OCR,能够全自动地将任何语言的任何文档提取为纯文本英语。”

Gartner 批评 Socure 几乎所有处理的文档都来自北美,这使得客户难以提供自己的代理,并且未按照 ISO 要求测试其活体检测能力。 Ayers 表示,Socure 的重点是面向美国的企业战略,通过使用自动化而不是人工代理来提高效率和准确性,认证工作被降低了优先级。

Ayers 表示:“作为消费者,你更希望 1.75 秒内得到响应还是等待两三个星期的视频面试?在 COVID 期间,你可能要等两个月才能使用 ID.me,而我们可以在不到两秒钟内完成,所以我认为这是一种积极的态度。”

Gartner 称赞 Incode 的易于配置工具,将 SLA 与转化率和欺诈结果相联系,平衡了核心方面的改进和增加新功能以争取工作场所用例。 Incode 最近添加了一个无代码编排工具和年龄估计产品,并计划增强注入攻击检测和为工作场所用例构建针对性功能。

该机构批评 Incode 的营销执行能力低于平均水平,客户流失率高,并且仅依靠净推荐得分来评估客户满意度。 Incode 高管无法就电话采访提供评论。

参考来源:https://www.inforisktoday.com/entrust-jumio-sumsub-lead-identity-verification-gartner-mq-a-26844


文章来源: https://www.freebuf.com/articles/neopoints/417194.html
如有侵权请联系:admin#unsafe.sh