La fine delle domande di sicurezza: perché la KBA è morta
March 12, 2025
•min read
Strategia di sicurezza
Figura 1: il declino delle credenziali di conoscenza statica
Il paradosso del “cognome da nubile della madre”
Per 30 anni, le banche e le compagnie telefoniche si sono affidate all’autenticazione basata sulla conoscenza (KBA).
“Qual era la sua prima auto?”
“In quale via è cresciuto?”
Nel 2010, questa era un’informazione “segreta”.
Nel 2025, è di dominio pubblico.
La minaccia dello scraping tramite LLM
Gli agenti di IA generativa possono ora estrarre 15 anni di cronologia dei social media in pochi secondi.
- Quella foto della sua prima Honda Civic su Instagram (2014)? L’IA conosce la sua prima auto.
- Quel post “Throwback Thursday” sulla casa della sua infanzia? L’IA conosce la sua via.
Credenziali statiche vs. dinamiche
Le password e le risposte sono statiche. Una volta rubate (o indovinate), restano valide per sempre finché non vengono cambiate.
La voce è dinamica.
- Non può essere rubata da un database.
- Richiede la “prova di vita” (liveness) per funzionare.
- Cambia in modo sottile con il tempo e il contesto, il che rende impossibile “riprodurla” con efficacia contro i rilevatori moderni.
Il costo dell’attrito
Oltre alla sicurezza, la KBA è la causa numero 1 di frustrazione dei clienti.
- Tempo medio per rispondere a 3 domande KBA: 45-60 secondi.
- Tasso di fallimento: 15-20% (clienti legittimi che dimenticano le risposte).
- Tempo di autenticazione vocale: 3 secondi (passiva).
Il percorso da seguire
Il settore sta passando ai fattori di “inerenza” (ciò che si è) rispetto ai fattori di “conoscenza” (ciò che si sa).
Se la sua sicurezza dipende dalla memoria dei suoi clienti, è già stato violato.
Passi alla biometria.
Tags: