Руководство по ключам доступа для клиентских порталов страховых компаний

1. Введение#

Клиентские страховые порталы испытывают давление с нескольких сторон одновременно. Риск захвата аккаунтов растет, SMS OTP в масштабе обходятся дорого, колл-центры берут на себя последствия сбоев с паролями и MFA, а регулирующие органы все чаще требуют использования устойчивой к фишингу MFA. Такое сочетание факторов делает страхование одним из самых очевидных вариантов использования ключей доступа (passkeys) для аутентификации клиентов.

В этой статье рассматриваются:

1. Почему страховые порталы являются отличным вариантом для ключей доступа: риск ATO (захвата аккаунта), дорогие потоки OTP, отложенное обнаружение мошенничества и растущее давление со стороны регулирующих органов.
2. Как ключи доступа соотносятся с устаревшими методами аутентификации: SMS OTP, OTP по электронной почте, TOTP и доверием к устройству (device trust) с точки зрения безопасности, UX, соответствия нормативным требованиям и стоимости.
3. Что отличает внедрение у страховщиков: устаревшие CIAM, архитектура мультибрендовых порталов, потоки агентов по сравнению с держателями полисов и региональное регулирование.
4. Как страховщики могут внедрить ключи доступа с помощью практической операционной модели: что измерять, как использовать модель зрелости и как перейти от входов в систему с активным использованием OTP к устойчивой к фишингу MFA.
5. Как ключи доступа стимулируют внедрение цифровых технологий и переход к самообслуживанию: стратегическое обоснование для руководителей уровня C-level и вице-президентов: смещение каналов, разгрузка колл-центров и связывание наблюдаемости аутентификации с бизнес-результатами.

2. Почему клиентские страховые порталы являются главной мишенью для захвата аккаунтов?#

На клиентских порталах страховых компаний хранятся одни из самых конфиденциальных персональных данных, при этом они часто полагаются на слабую безопасность входа. Это делает их естественной мишенью для атак с использованием учетных данных. Аккаунты держателей полисов содержат номера социального страхования, банковские реквизиты, медицинские карты и историю страховых случаев. Все это может быть монетизировано посредством кражи личных данных или мошеннических заявлений.

В отличие от банковских порталов, где мониторинг транзакций выявляет мошенничество в режиме реального времени, мошенничество в сфере страхования часто обнаруживается только спустя недели или месяцы. Злоумышленник, получивший доступ к аккаунту держателя полиса, может изменить бенефициаров, подать мошеннические претензии или похитить персональные данные задолго до того, как страховщик обнаружит компрометацию.

Масштаб проблемы:

• Подстановка учетных данных на входе: В октябре 2025 года NYDFS оштрафовал восемь автостраховщиков на общую сумму 19 млн долларов США именно из-за того, что они не обеспечили применение MFA в общедоступных системах расчета стоимости полисов. Злоумышленники использовали подстановку учетных данных (credential stuffing) для массового доступа к конфиденциальным данным водителей.
• SMS OTP стоят дорого и ненадежны: В масштабах страховщика (миллионы держателей полисов) затраты на доставку SMS OTP быстро растут. Компания, отправляющая 10 миллионов OTP в месяц по цене 0,03 доллара США за сообщение, тратит 3,6 млн долларов США в год, и это при условии 100% доставки. На практике из-за фильтрации операторов связи, переноса номеров и международного роуминга 5–15 % OTP так и не доходят до адресата, при этом каждый сбой доставки потенциально генерирует звонок в службу поддержки.
• Нагрузка на колл-центры из-за сброса паролей: Колл-центры страховых компаний уже обрабатывают сложные претензии и запросы по полисам. Добавление к этому сброса паролей и устранения неполадок MFA отвлекает время агентов от деятельности, приносящей доход. По отраслевым оценкам, на звонки, связанные с аутентификацией, приходится 20–40 % от общего объема звонков в колл-центры для потребительских финансовых услуг.
• Регулятивное давление усиливается: Помимо NYDFS, Правило о гарантиях FTC (FTC Safeguards Rule) предписывает использование MFA для небанковских финансовых учреждений с июня 2023 года, а Типовой закон о безопасности данных страхования NAIC (NAIC Insurance Data Security Model Law, принятый более чем в 25 штатах) требует MFA на основе рисков для всех лицензиатов.

Ценные данные, отложенное обнаружение мошенничества, растущие расходы на OTP и ужесточение регулирования — все это указывает в одном направлении: страховым порталам срочно требуется устойчивая к фишингу аутентификация.

3. Как ключи доступа соотносятся с SMS OTP, OTP по электронной почте, TOTP и доверием к устройству для страховых порталов?#

Выбор правильного метода аутентификации означает взвешивание безопасности, пользовательского опыта (UX), восстановления, сложности внедрения, нагрузки на службу поддержки, соответствия нормативным требованиям и затрат в масштабе. В таблице ниже показано, как оценивается каждый из вариантов.

Итог: Ключи доступа — единственный вариант, который получает самые высокие оценки по параметрам безопасности, UX, нагрузки на поддержку, соответствия требованиям и стоимости в масштабе. Компромисс заключается в сложности внедрения, но это разовая инвестиция, которая окупается по мере роста использования.

4. Что отличает внедрение ключей доступа для страховщиков?#

Развертывание ключей доступа в страховании — это не то же самое, что их развертывание в банковской сфере или SaaS. Страховщики имеют дело с устаревшей инфраструктурой, сложностью мультибрендовых порталов, различными группами пользователей и многоуровневыми нормативными требованиями, которые определяют каждое решение по реализации.

4.1 Устаревшие платформы CIAM#

Большинство крупных страховщиков используют для управления учетными записями потребителей корпоративные платформы CIAM, такие как Ping Identity, ForgeRock или Okta. В настоящее время эти платформы поддерживают FIDO2/WebAuthn на уровне протокола, но эта поддержка охватывает только внутреннюю церемонию (backend ceremony). Уровень внедрения (push-уведомления о регистрации, подсказки с учетом устройства, обработка ошибок и телеметрия на стороне клиента) либо отсутствует, либо требует значительной пользовательской разработки.

Это создает ту же «ловушку 1%», которая наблюдается при развертывании в банковской сфере: галочка напротив IdP поставлена, но внедрение стагнирует, потому что никто не выстроил путь продукта, который переводит держателей полисов от пароля к ключу доступа.

4.2 Мультибрендовые порталы и стратегия rpID#

Типичный крупный страховщик управляет продуктами по автострахованию, страхованию жилья, жизни и специализированными продуктами, часто на отдельных поддоменах или даже на отдельных доменах, приобретенных в результате слияний и поглощений. Ключи доступа привязаны к источнику (origin-bound): учетные данные, созданные на auto.insurer.com, не будут работать на life.insurer.com, если только они не используют один и тот же Relying Party ID (rpID).

Решение:

• Определите единый rpID, привязанный к родительскому домену (например, insurergroup.com), до начала любых работ с ключами доступа.
• Маршрутизируйте всю аутентификацию через централизованный уровень SSO (OIDC/SAML), который использует этот общий rpID.
• Если устаревшие домены не могут быть объединены немедленно, используйте Связанные источники (Related Origins), чтобы преодолеть разрыв без принудительной повторной регистрации.

4.3 Потоки агентов и держателей полисов#

В сфере страхования есть две совершенно разные группы пользователей, которые обращаются к одним и тем же внутренним системам:

Компания Branch Insurance показала, как это работает на практике: они начали с агентов (более высокая частота, более контролируемая среда) и достигли 25% первоначального внедрения, прежде чем распространить опыт на держателей полисов. Подход «сначала агенты» позволил повысить внутреннюю уверенность и на раннем этапе выявить проблемы, связанные с конкретными устройствами.

4.4 Региональная нормативно-правовая база#

Аутентификация в страховании — это не только проблема регулирования в США. Точные правила различаются в зависимости от рынка, но направление остается единым: более строгий контроль доступа, более широкое покрытие MFA и более пристальное внимание к цифровым каналам, ориентированным на клиентов.

• США: NYDFS Part 500 предписывает универсальную MFA к ноябрю 2025 года для субъектов, подпадающих под его действие, включая страховщиков, лицензированных в Нью-Йорке. NYDFS прямо указывает на SMS OTP как на слабые средства и рекомендует альтернативы, устойчивые к фишингу. Типовой закон о безопасности данных страхования NAIC продвигает MFA на основе рисков более чем в 25 штатах, в то время как Правило о гарантиях FTC (FTC Safeguards Rule) требует MFA для определенных небанковских финансовых учреждений и посредников.
• ЕС: DORA начал применяться 17 января 2025 года и распространяется на страховые компании на всей территории ЕС. DORA шире, чем правило о MFA, но он повышает планку управления рисками ИКТ, отчетности об инцидентах, тестирования устойчивости и надзора за третьими сторонами для систем, ориентированных на клиентов.
• Австралия: APRA CPS 234 требует мер информационной безопасности, соразмерных рискам, от страховщиков и других организаций, регулируемых APRA. В руководстве APRA по MFA от 2023 года конкретно говорится об усиленной аутентификации для привилегированного доступа, удаленного доступа и действий с высоким уровнем риска, а также отмечается, что существенные пробелы в MFA, затрагивающие держателей полисов, могут быть расценены как недостаток безопасности, о котором необходимо сообщить.
• Канада: OSFI Guideline B-13 применяется к финансовым учреждениям, регулируемым на федеральном уровне, включая страховщиков. OSFI заявляет, что компании должны внедрять средства контроля идентификации и доступа на основе рисков, включая MFA во внешних каналах и привилегированных учетных записях.

Для многонациональных страховщиков практический вывод прост: проектируйте аутентификацию клиентов так, чтобы она удовлетворяла самому строгому применимому режиму. Общее направление — внедрение MFA на основе рисков и все более устойчивой к фишингу, а не сохранение зависимости от SMS OTP.

5. Что страховщикам следует измерять до и после запуска ключей доступа?#

Запуск ключей доступа без телеметрии на стороне клиента подобен выписке страхового полиса без данных андеррайтинга. Вы не узнаете, что не работает, где или для кого, пока ваш колл-центр не будет перегружен. Ошибка «слепого развертывания», характерная для банковских внедрений, в равной степени применима и здесь, особенно учитывая разнообразие демографических данных держателей полисов, с которыми имеют дело страховщики.

Как минимум, страховщики должны измерять три бизнес-ориентированных результата:

• Процент успешных входов: Стали ли держатели полисов и агенты более надежно выполнять вход в систему после запуска ключей доступа?
• Уровень регистрации (Enrollment rate): Действительно ли пользователи создают ключи доступа, или процесс останавливается после первого запроса?
• Объем резервных вариантов (Fallback) и обращений в поддержку: Возвращаются ли пользователи к SMS или восстановлению пароля, и снижается ли количество обращений в службу поддержки, связанных с аутентификацией?

Если эти три показателя движутся в правильном направлении, развертывание работает. Если нет, вам необходимо скорректировать время появления подсказок, логику резервных вариантов (fallback), покрытие устройств или обучение пользователей, прежде чем масштабировать систему дальше.

5.1 Пути клиентов по претензиям и изменению аккаунта важнее стандартных входов в систему#

Страховые порталы — это не просто возможность «войти и проверить баланс». Моменты наибольшего риска часто наступают, когда держатель полиса подает претензию, изменяет реквизиты для выплат, обновляет адрес, добавляет водителя, меняет бенефициара или получает доступ к конфиденциальным документам. Эти пути клиента не следует объединять в один общий KPI входа в систему.

Поэтому страховщикам следует отслеживать эффективность ключей доступа отдельно для событий аккаунта с высоким уровнем риска. Если общий показатель успешного входа в систему выглядит высоким, но операции, связанные с претензиями или выплатами, по-прежнему откатываются к SMS или ручному восстановлению, значит, внедрение на самом деле не снижает операционный риск там, где это важнее всего. Это одно из самых больших различий между страхованием и потребительскими приложениями, используемыми более часто.

5.2 Редкие входы в систему меняют стратегию внедрения#

Многие держатели полисов входят в систему всего несколько раз в год: при продлении полиса, после проблемы со счетами или при подаче претензии. Это делает внедрение ключей доступа в страховании фундаментально отличным от продуктов ежедневного использования. У вас меньше возможностей для того, чтобы подсказывать, обучать и восстанавливать ситуацию после неудачного первого опыта.

Именно поэтому страховщикам следует измерять уровень регистрации (enrollment) по путям клиента (journeys), а не только в совокупности. Подсказка, отображаемая после успешного платежа или проверки статуса претензии, может дать гораздо лучшую конверсию, чем «холодная» подсказка на первом экране входа в систему спустя несколько месяцев после последнего сеанса. В страховании лучшие моменты для внедрения обычно связаны с доверием и выполнением задачи, а не с частотой входов.

6. Что такое Модель зрелости аутентификации в страховании?#

Эта четырехуровневая система дает страховщикам возможность оценить свой текущий уровень аутентификации, установить целевые ориентиры и информировать о прогрессе советы директоров, регулирующие органы и аудиторов. Каждый уровень строится на базе предыдущего.

На следующей диаграмме четыре уровня зрелости визуализированы как переход от модели «только SMS» к полной наблюдаемости.

Как использовать эту модель:

1. Оценка (Assess): Определите свой текущий уровень, проведя аудит методов аутентификации, охвата телеметрии и пробелов в соответствии нормативным требованиям на всех клиентских порталах.
2. Цель (Target): Установите дорожную карту на 12–18 месяцев, чтобы достичь как минимум Уровня 3. Страховщикам, находящимся под надзором NYDFS, следует ориентироваться на Уровень 4, чтобы обеспечить выполнение требования о двойной сертификации генеральным директором (CEO) и директором по информационной безопасности (CISO).
3. Информирование (Communicate): Используйте эту модель в презентациях для совета директоров и в документах, представляемых в регулирующие органы, чтобы продемонстрировать структурированный прогресс, а не разрозненные улучшения.

7. Как ключи доступа стимулируют внедрение цифровых технологий и переход к самообслуживанию#

Большинство руководителей страховых компаний считают аутентификацию сугубо IT-вопросом. Это ошибка. Для руководителей уровня C-level и вице-президентов, чья стратегическая повестка дня включает перевод держателей полисов из колл-центров и филиалов на цифровое самообслуживание, аутентификация является самым большим препятствием на пути к этому.

7.1 Аутентификация — это входная дверь для любой цифровой инициативы#

Каждая цифровая инициатива в страховании — самостоятельное урегулирование убытков (self-service claims), онлайн-изменения полисов, цифровые платежи, рабочие процессы электронной подписи — начинается со входа в систему. Если держатели полисов не могут надежно пройти через эту входную дверь, ни одна из последующих инвестиций не принесет ROI (окупаемости).

Данные очевидны:

• 43 % потребителей говорят, что управление входами в систему влияет на их готовность использовать онлайн-сервисы в целом.
• 64 % отказались от покупки, потому что им пришлось создать учетную запись или они не смогли войти в систему.
• 60 % потребителей считают, что в страховых, пенсионных и ипотечных порталах сложно ориентироваться, причем вход в систему является первой и наиболее частой точкой сбоя.
• Только 20 % клиентов страховых компаний говорят, что цифровые каналы являются их предпочтительным способом взаимодействия со страховщиком, в значительной степени потому, что опыт (начиная с аутентификации) хуже, чем то, что они получают в банковских и розничных приложениях.

На следующей диаграмме показано, как эти четыре точки данных объединяются в единую картину, препятствующую внедрению цифровых технологий.

Для страховщиков, тратящих миллионы на редизайн порталов, чат-ботов и рабочие процессы цифровых претензий, процесс входа с использованием пароля и SMS OTP сводит на нет все инвестиции. Держатели полисов, которые не могут войти в систему или сдаются от разочарования, по умолчанию звонят в контакт-центр или посещают филиал — именно те дорогостоящие каналы, которые должна была заменить цифровая стратегия.

7.2 Количественная оценка перехода на самообслуживание#

Перевод держателей полисов от каналов с участием человека к цифровому самообслуживанию является одной из самых эффективных стратегий снижения затрат в страховании:

• Телефонные звонки обходятся в 8–15 долларов США за контакт по сравнению с менее чем 1 долларом США для самообслуживания. В масштабах страховщика даже 10% смещение каналов от телефона к цифре экономит миллионы долларов ежегодно.
• Пользователи порталов на 12 % реже аннулируют свои полисы по сравнению с теми, кто порталом не пользуется. У мультиканальных пользователей уровень удержания на 25 % выше.
• Страховщики, внедряющие цифровое самообслуживание, сообщают о снижении затрат на обслуживание на 15–25 % и снижении затрат на обработку претензий на 30 %.
• 82 % клиентов страховых компаний хотят решать свои вопросы без звонков, но только 56 % сообщают о наличии адекватных инструментов самообслуживания — разрыв, который еще больше увеличивается из-за трения при аутентификации.

На диаграмме ниже показано, как эти экономические показатели сравниваются по разным каналам.

Ключи доступа напрямую устраняют разрыв между намерениями клиента и фактическим использованием портала. Когда вход в систему занимает менее 2 секунд с биометрическим подтверждением вместо потока с паролем и OTP, который завершается ошибкой в 5–15 % случаев, большее число держателей полисов завершают свой путь в цифровом формате, вместо того чтобы браться за телефон.

7.3 Что наблюдаемость (observability) Corbado уникально раскрывает о внедрении цифровых технологий#

Большинство страховщиков знают, что уровень внедрения их цифровых сервисов ниже, чем им хотелось бы. Но на что они не могут ответить, так это на вопрос почему. Это несовместимость устройств? Трение в процессе регистрации? Конкретная ОС или браузер, где ключи доступа завершаются с ошибкой без уведомлений? Демографический сегмент, которому никогда не предлагают регистрацию?

Именно здесь наблюдаемость аутентификации Corbado (authentication observability) предоставляет то, чего нет ни в одном другом инструменте на рынке: возможность связать телеметрию аутентификации напрямую с бизнес-метриками, такими как уровень внедрения цифровых технологий, процент завершения самообслуживания и миграция каналов.

Corbado показывает:

• Где держатели полисов выпадают из воронки аутентификации — не просто «сбой входа», а на каком этапе церемонии, на каком устройстве, для какого сегмента пользователей.
• Какие когорты застряли на устаревших методах — например, держатели полисов старше 60 лет на Android, которые никогда не видят запрос на создание ключа доступа, потому что их устройство несовместимо, что незаметно перенаправляет их к SMS, а затем в колл-центр.
• Прямую связь между успехом аутентификации и цифровой вовлеченностью — если уровень успешного входа увеличивается на 10 процентных пунктов, насколько возрастает использование портала для самообслуживания? Насколько меньше звонков поступает в контакт-центр?

Для ИТ-директора (CIO) или старшего вице-президента по цифровым технологиям, выступающего перед советом директоров, это превращает фразу «мы запустили ключи доступа» в «ключи доступа увеличили внедрение цифрового самообслуживания на X%, сократили объем звонков в колл-центр на Y% и сэкономили Z долларов в квартал». Это стратегическое повествование, которое оправдывает инвестиции и ускоряет более широкую дорожную карту цифровой трансформации.

8. Как Corbado помогает страховщикам внедрять ключи доступа#

Большинство страховщиков уже имеют платформу CIAM (Ping, ForgeRock, Okta), которая может обрабатывать церемонию WebAuthn. Чего им не хватает, так это уровня внедрения, который превращает фразу «мы поддерживаем ключи доступа» в «50 % наших держателей полисов используют ключи доступа». Corbado обеспечивает этот уровень.

8.1 Движок внедрения (Adoption engine)#

Предварительно созданные UI-компоненты и логика принятия решений Corbado обрабатывают процесс регистрации, который платформы CIAM оставляют на откуп кастомной разработке:

• Контекстные запросы на регистрацию появляются в моменты высокого доверия (сразу после успешной проверки MFA), а не прячутся в настройках аккаунта.
• Прогрессивная срочность (Progressive urgency) переходит от подсказок «Необязательно» (Optional) к «Рекомендуется» (Recommended) и к «Обязательно» (Mandatory) в течение настраиваемого временного интервала, что соответствует кривой внедрения в 12–18 месяцев, необходимой большинству страховщиков.
• A/B-тестирование для обмена сообщениями о регистрации, времени и места их размещения для оптимизации коэффициентов конверсии в различных сегментах держателей полисов и линейках продуктов.

8.2 Аналитика устройств (Device intelligence)#

Corbado поддерживает постоянно обновляемую матрицу совместимости ключей доступа на уровне устройств:

• Если в определенной модели Samsung реализована неработающая интеграция ключей доступа, Corbado автоматически подавляет запрос, перенаправляя пользователя к резервному варианту (fallback) без лишнего разочарования.
• Passkey Intelligence определяет возможности устройства перед отправкой запроса, предотвращая ошибки «Операция прервана» (Operation Interrupted), которые вызывают всплески обращений в поддержку.
• Специфическое для страхования разнообразие устройств (старые планшеты, используемые пенсионерами, общие рабочие станции агентств, корпоративные ноутбуки) управляется с помощью настраиваемых политик доверия.

8.3 Умные резервные варианты (Smart fallbacks)#

Corbado предотвращает перманентные блокировки, интеллектуально перенаправляя пользователей на альтернативные варианты, когда их устройство или среда не готовы к использованию ключей доступа:

• Держатели полисов на несовместимых устройствах видят плавный переход к следующему лучшему методу, а не экран с ошибкой.
• Потоки восстановления с использованием проверки личности (eKYC, сканирование ID + liveness-проверка) позволяют выполнить повторную регистрацию без вмешательства колл-центра.
• Специфичные для агентов резервные политики учитывают общие рабочие станции и корпоративные прокси-среды, которые блокируют гибридные потоки (QR-код).

8.4 Криминалистическая телеметрия#

Corbado предоставляет «рентгеновское зрение», которое не могут обеспечить серверные журналы CIAM:

• Дашборд Device Trust (Доверие к устройству) показывает показатели успешности по типу ключа доступа, классификации устройства и охвату факторов SCA.
• Обнаружение аномалий в реальном времени помечает необычные паттерны (всплески использования общих устройств, регистрация из подозрительных сред) до того, как они станут инцидентами безопасности.
• Готовая к аудиту отчетность предоставляет CISO данные, необходимые для ежегодной сертификации NYDFS, проверок NAIC и внутренней отчетности для совета директоров.

Corbado не заменяет ваш существующий стек CIAM. Он располагается перед ним, справляясь с реальной сложностью фрагментации устройств, обучением пользователей и операционной видимостью, которая определяет, принесут ли ваши инвестиции в ключи доступа ROI (окупаемость) или остановятся на уровне внедрения менее 1 %.

9. Заключение#

Клиентские порталы страховых компаний испытывают давление сразу с нескольких сторон: рост числа ATO-атак (захват аккаунтов), дорогостоящая инфраструктура SMS OTP, перегрузка колл-центров из-за сброса паролей, ужесточение ожиданий регуляторов в США, ЕС, Австралии и Канаде — а также стратегический мандат на перевод держателей полисов от дорогостоящих человеческих каналов на цифровое самообслуживание. Ключи доступа решают все пять проблем, устраняя фишинговые учетные данные, устраняя затраты на каждую аутентификацию, снижая нагрузку на службу поддержки, соответствуя тенденции к усилению MFA и устраняя трение при входе в систему, которое препятствует внедрению цифровых технологий.

Компании Aflac (500 000 регистраций, 96 % успешности), Branch Insurance (снижение количества заявок в поддержку на 50 %) и HealthEquity (обязательное внедрение без возможности отказа) уже доказали, что массовое внедрение работает. Ключ к успеху заключается в том, чтобы относиться к ключам доступа как к продуктовому пути, а не к галочке в инфраструктуре: инвестируйте в процессы регистрации, настраивайте клиенты, планируйте резервные варианты и создавайте телеметрию, которая связывает эффективность аутентификации с бизнес-метриками, которые действительно волнуют ваш совет директоров, — уровнем внедрения цифровых технологий, разгрузкой колл-центров и успешным завершением процессов самообслуживания.

Используйте Модель зрелости аутентификации в страховании (Insurance Authentication Maturity Model), чтобы оценить свое текущее положение, установить цель на 12–18 месяцев и продемонстрировать структурированный прогресс вашему совету директоров и регулирующим органам.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Как ключи доступа снижают риск захвата аккаунта для клиентских порталов страховых компаний?#

Ключи доступа используют криптографию с открытым и закрытым ключом, привязанную к домену страховщика, что делает их неуязвимыми для фишинга, подстановки учетных данных и атак с подменой SIM-карт, от которых страдают потоки паролей и SMS OTP. Aflac сообщил о 96% успешных входов после внедрения ключей доступа, а Branch Insurance отметила падение количества обращений в службу поддержки примерно на 50%. Поскольку при аутентификации не передается общий секрет, злоумышленники не могут собрать повторно используемые учетные данные, даже если они контролируют сеть.

Какие нормативные базы определяют требования к аутентификации для клиентских порталов страховых компаний, и как в этом помогают ключи доступа?#

В США NYDFS Part 500, Правило о гарантиях FTC (FTC Safeguards Rule) и Типовой закон о безопасности данных страхования NAIC (NAIC Insurance Data Security Model Law) подталкивают страховщиков к более сильной MFA. За пределами США страховщики ЕС подпадают под действие DORA, австралийские страховщики — под действие APRA CPS 234, а канадские страховщики — под действие OSFI Guideline B-13. Все они повышают ожидания в отношении средств контроля аутентификации для систем, ориентированных на клиентов. Ключи доступа помогают, потому что они обеспечивают устойчивую к фишингу MFA с использованием криптографических учетных данных FIDO2/WebAuthn, одновременно снижая зависимость от более слабых потоков SMS OTP.

Как ключи доступа соотносятся с SMS OTP, TOTP и доверием к устройству (device trust) для аутентификации на страховых порталах?#

SMS OTP стоит 0,01–0,05 доллара США за сообщение в масштабе, уязвим для подмены SIM-карты и фишинга, а также создает высокую нагрузку на колл-центр из-за сбоев доставки. Приложения TOTP устраняют стоимость каждого сообщения, но остаются уязвимыми для фишинга и требуют ручного ввода кода. Доверие к устройству (Device trust) снижает трение на известных устройствах, но не обеспечивает защиту от фишинга. Ключи доступа сочетают в себе устойчивую к фишингу безопасность с нулевой стоимостью каждой аутентификации и временем входа менее 2 секунд, что делает их единственным методом, который получает самые высокие оценки по параметрам безопасности, UX, стоимости и соответствия требованиям.

Чем развертывание ключей доступа отличается для страховщиков по сравнению с банками или SaaS-компаниями?#

Страховщики сталкиваются со сложностью мультибрендовых порталов, где продукты автострахования, страхования жилья и жизни могут работать на отдельных поддоменах, требующих единой стратегии rpID. Устаревшие платформы CIAM, такие как Ping, ForgeRock или Okta, обрабатывают WebAuthn на бэкенде, но предлагают ограниченные инструменты для внедрения. Потоки для агентов и держателей полисов требуют разных уровней доверия и профилей устройств. Нормативное давление также охватывает множество юрисдикций: страховщики США сталкиваются с ожиданиями NYDFS Part 500, NAIC Model Law и FTC Safeguards Rule, страховщики ЕС подпадают под действие DORA, австралийские страховщики отвечают перед APRA CPS 234, а канадские страховщики — перед OSFI Guideline B-13. Для этого требуется план развертывания, который удовлетворяет самому строгому применимому стандарту.

Что такое Модель зрелости аутентификации в страховании (Insurance Authentication Maturity Model) и как страховщики могут использовать ее для оценки своего прогресса?#

Модель зрелости аутентификации в страховании определяет четыре уровня: Уровень 1 (Только SMS) с однофакторным OTP и отсутствием защиты от фишинга; Уровень 2 (С поддержкой MFA) с паролем плюс SMS или TOTP, соответствующий базовым требованиям; Уровень 3 (Устойчивый к фишингу) с развернутыми ключами доступа, защищенной регистрацией и умными резервными вариантами; Уровень 4 (Устойчивый к фишингу + Наблюдаемость) с полной телеметрией, доверием к устройству и непрерывным мониторингом. Страховщики могут использовать эту модель, чтобы определить свой текущий уровень, установить целевые этапы и информировать о прогрессе советы директоров и регулирующие органы.