Op Japanse e-commercesites is ’risicogebaseerde authenticatie’ een steeds belangrijkere maatregel tegen fraude. Volgens een rapport van de Japan Credit Association bedroegen de geschatte verliezen door creditcardfraude in 2025 ongeveer 51 miljard yen. Hoewel dit een daling is ten opzichte van het voorgaande jaar, zijn er nog steeds voortdurende preventiemaatregelen nodig. Het is belangrijk om op te merken dat de meeste gevallen van creditcardfraude te maken hebben met diefstal van kaartnummers, waarbij incidenten vooral voorkomen bij transacties op afstand, zoals op e-commercesites.
In deze context krijgt risicogebaseerde authenticatie steeds meer aandacht als een maatregel die de veiligheid waarborgt zonder de gebruikerservaring in gevaar te brengen.
Dit artikel geeft een duidelijke uitleg over de mechanismen en soorten risicogebaseerde authenticatie, hoe deze verschilt van meervoudige authenticatie (MFA), en de voordelen en belangrijke overwegingen bij de implementatie ervan, allemaal binnen de context van de Japanse e-commerceomgeving.
Belangrijkste punten
- Risicogebaseerde authenticatie beoordeelt het risico op basis van gebruikersgedrag en de toegangsomgeving; er wordt alleen om aanvullende verificatie gevraagd wanneer dat nodig is.
- Terwijl multifactorauthenticatie (MFA) bij elke login of transactie extra verificatie vereist, past risicogebaseerde authenticatie de aanwezigheid en sterkte van de authenticatie dynamisch aan op basis van het risiconiveau.
- Actieve authenticatie vereist interactie van de gebruiker, terwijl passieve authenticatie het gedrag van de gebruiker op de achtergrond analyseert zonder dat de gebruiker iets hoeft te doen.
- Risicogebaseerde authenticatie kan helpen een balans te vinden tussen veiligheid en gebruikerservaring, maar de effectiviteit ervan hangt af van een goed ontwerp en een goede implementatie.
- Op de Japanse e-commercemarkt is fraudepreventie steeds belangrijker geworden, en risicogebaseerde authenticatie wordt ingezet als een van de belangrijkste manieren om dit aan te pakken.
Wat is risicogebaseerde authenticatie?
Risicogebaseerde authenticatie is een systeem dat gebruikersgedrag en toegangsomgevingen analyseert om risico's in te schatten. Op basis van deze analyse wordt bepaald of aanvullende authenticatie nodig is.
Extra authenticatie is bijvoorbeeld alleen nodig wanneer ongebruikelijke gedragspatronen worden gedetecteerd, zoals toegang vanaf een ander IP-adres, apparaat of browser, of vanuit een tijdzone die afwijkt van de gebruikelijke tijdzone van de gebruiker. Dit mechanisme maakt het mogelijk om ongeoorloofde toegang te voorkomen voordat deze daadwerkelijk plaatsvindt.
Verschillen tussen risicogebaseerde authenticatie en meervoudige authenticatie (MFA)
Meervoudige authenticatie (MFA) is een systeem om de identiteit van een gebruiker te verifiëren door twee of meer authenticatiefactoren te combineren uit drie categorieën: kennis (bijv. een wachtwoord of pincode), bezit (bijv. een beveiligingstoken) en inherente eigenschappen (bijv. biometrische gegevens zoals vingerafdrukken).
Terwijl risicogebaseerde authenticatie de vereisten voor, of de sterkte van, authenticatie dynamisch aanpast op basis van de specifieke context, vereist meervoudige authenticatie over het algemeen elke keer dat een gebruiker inlogt een extra verificatie. Hoewel meervoudige authenticatie de beveiliging kan verbeteren, legt het vaak een extra last op de schouders van gebruikers.
Soorten risicogebaseerde authenticatie en hoe ze werken
Er zijn twee soorten risicogebaseerde authenticatie: ’actieve authenticatie’, waarbij de gebruiker een expliciete handeling moet uitvoeren, en ’passieve authenticatie’, waarbij de authenticatie op de achtergrond wordt verwerkt zonder dat de gebruiker iets hoeft te doen.
Actieve authenticatie
Bij actieve authenticatie moeten gebruikers een expliciete authenticatiehandeling uitvoeren.
Als de gebruiker bijvoorbeeld inlogt op online bankieren vanaf een ongebruikelijke locatie of een grote aankoop doet op een e-commerce site, kan hem worden gevraagd een eenmalig wachtwoord in te voeren of aanvullende authenticatie te geven via 3D Secure 2.
Een belangrijk kenmerk van dit systeem is dat het alleen aanvullende verificatie uitvoert in situaties die als risicovol worden beschouwd. Dit kan fraude voorkomen zonder het gemak van dagelijkse transacties in gevaar te brengen.
Passieve authenticatie
Passieve authenticatie is een methode om risico's in te schatten op basis van informatie over het gedrag en de toegangsomgeving van een gebruiker, zonder dat de gebruiker specifieke acties hoeft uit te voeren.
Op een e-commercewebsite worden bijvoorbeeld het IP-adres, apparaatgegevens, de browser, toegangstijden, aankoopgeschiedenis en gedragspatronen van de gebruiker op de achtergrond geanalyseerd, en het systeem controleert continu op ongebruikelijke activiteiten. Dit mechanisme maakt het mogelijk om tekenen van fraude op te sporen zonder dat gebruikers zich bewust hoeven te zijn van de beveiligingsmaatregelen.
Bovendien detecteert het systeem gedrag zoals een plotselinge piek in bestellingen binnen een korte periode of onnatuurlijk hoge verwerkingssnelheden, waardoor het risico op frauduleuze bestellingen en nepbestellingen door bots wordt beperkt.
Hoewel passieve authenticatie zorgt voor verbeterde beveiliging zonder dat dit ten koste gaat van het gebruiksgemak, wordt het in gevallen waarin het moeilijk is om een beslissing te nemen, meestal gebruikt in combinatie met actieve authenticatie.
Voordelen van risicogebaseerde authenticatie
Risicogebaseerde authenticatie zorgt voor een optimale balans tussen veiligheid en gebruikerservaring. Op e-commercesites speelt dit een belangrijke rol bij het behouden en stimuleren van de verkoop.
Beperkt ongeoorloofde toegang en fraude
Bij risicogebaseerde authenticatie wordt alleen extra verificatie geactiveerd wanneer er verdachte activiteiten worden gedetecteerd op basis van de inlogomgeving of transactiepatronen. Dit beperkt effectief risico's zoals ongeoorloofde inlogpogingen en frauduleuze bestellingen.
Dit is vooral waardevol voor e-commerce sites, omdat het helpt bij het verminderen van incidenten zoals frauduleuze bestellingen met gestolen kaartgegevens, accountkaping en grapbestellingen.
Doet geen afbreuk aan het gebruiksgemak
In plaats van tweefactorauthenticatie voor alle gebruikers verplicht te stellen, maakt het systeem het mogelijk om authenticatie over te slaan in gevallen die als laag risico worden beschouwd, waardoor soepel inloggen en betalen mogelijk is.
Dit maakt het mogelijk om de veiligheid te waarborgen en tegelijkertijd de drempel voor legitieme gebruikers zo laag mogelijk te houden.
Vermindert het aantal verlaten winkelwagentjes en helpt de conversiepercentages op peil te houden
Op e-commercesites kan een omslachtig authenticatieproces leiden tot verlaten winkelwagentjes. Bij risicogebaseerde authenticatie is alleen extra verificatie nodig voor transacties met een hoog risico. Dit helpt om klantverloop door onnodige verificatie te voorkomen.
Door effectief gebruik te maken van risicogebaseerde authenticatie kun je conversiepercentages op peil houden en tegelijkertijd een hoog beveiligingsniveau garanderen.
Let op bij risicogebaseerde authenticatie
Hoewel risicogebaseerde authenticatie een goede balans biedt tussen veiligheid en gebruiksgemak, kan één misstap negatieve gevolgen hebben voor zowel de gebruikerservaring als de omzet.
Het risico dat verbeterde authenticatie averechts werkt
Bij risicogebaseerde authenticatie is extra verificatie nodig wanneer een risicovolle situatie wordt gedetecteerd. Als dit vaak gebeurt, kan dat behoorlijk vervelend zijn voor de gebruiker.
Vooral als klanten tijdens het afrekenen meerdere keren om authenticatie worden gevraagd, kunnen ze de zin verliezen om iets te kopen. Bij het runnen van een e-commerce site moet je prioriteit geven aan veiligheid, maar als je daar zo agressief mee omgaat dat het ten koste gaat van de gebruikerservaring, schiet je je doel voorbij.
Gevolgen van valse positieven voor legitieme gebruikers
Afhankelijk van de nauwkeurigheid van de risicobeoordeling kan het gedrag van legitieme gebruikers als verdacht worden gemarkeerd, wat leidt tot valse positieven.
Als een legitieme gebruiker bijvoorbeeld tijdens een reis voor een onderneming of vakantie toegang zoekt tot de dienst, of als hij van apparaat is gewisseld, kan zijn activiteit worden gemarkeerd als plaatsvindend in een atypische omgeving. Aangezien dergelijke valse positieven gemakkelijk tot frustratie bij de gebruiker kunnen leiden, is voorzichtigheid geboden.
De effectiviteit van risicogebaseerde authenticatie hangt sterk af van het ontwerp en de implementatie ervan. Het is belangrijk om het zo te gebruiken dat er zorgvuldig een balans wordt gevonden met de gebruikerservaring.
Belangrijke overwegingen bij het implementeren van risicogebaseerde authenticatie
De belangrijkste punten voor een effectieve implementatie van risicogebaseerde authenticatie zijn als volgt:
Ontwerp op basis van het risicoprofiel van je onderneming
Het optimale ontwerp van risicogebaseerde authenticatie varieert afhankelijk van de kenmerken van de dienst en het gedrag van de gebruiker.
Voor e-commercesites is het bijvoorbeeld belangrijk om het systeem te ontwerpen met het oog op bestellingen met een hoge waarde en momenten waarop frauduleuze activiteiten het meest waarschijnlijk zijn. Bij lidmaatschapsdiensten daarentegen moet de focus liggen op het voorkomen van ongeoorloofde toegang tijdens het inlogproces.
Zorg voor voortdurende verbeteringen
Het implementeren van risicogebaseerde authenticatie is geen eenmalige taak. De criteria die worden gebruikt voor risicobeoordeling moeten periodiek worden herzien en bijgewerkt om rekening te houden met de specifieke kenmerken van de dienst en de heersende trends in frauduleuze activiteiten. Zowel frauduleuze tactieken als het gedrag van gebruikers evolueren in de loop van de tijd.
Zelfs na de implementatie is het belangrijk om risicobeoordelingen voortdurend aan te passen en de werking te verbeteren door statistieken zoals authenticatiepercentage, klantverloop en nauwkeurigheid van fraudedetectie te monitoren.
Hoe Stripe Radar kan helpen
Stripe Radar gebruikt AI-modellen om fraude op te sporen en te voorkomen, getraind op basis van gegevens uit het wereldwijde netwerk van Stripe. Het werkt deze modellen steeds bij op basis van de nieuwste fraudetrends, zodat je onderneming beschermd blijft terwijl fraude zich ontwikkelt.
Stripe biedt ook Radar for Fraud Teams, waarmee gebruikers regels op maat kunnen toevoegen voor specifieke fraude scenario's voor hun bedrijf en toegang krijgen tot geavanceerde fraude- inzichten.
Radar kan je onderneming helpen:
Fraudeverliezen voorkomen: Stripe verwerkt jaarlijks meer dan $ 1 biljoen aan betalingen. Deze schaalgrootte stelt Radar in staat om fraude nauwkeurig op te sporen en te voorkomen, waardoor je geld bespaart.
Omzet verhogen: de AI-modellen van Radar zijn getraind op basis van echte geschillengegevens, klantinformatie, browsegegevens en meer. Hierdoor kan Radar risicovolle transacties identificeren en valse positieven verminderen, waardoor je omzet stijgt.
Tijd besparen: Radar is ingebouwd in Stripe en hoeft niet te worden geconfigureerd. Je kunt ook je frauderesultaten monitoren, regels opstellen en meer op één platform, waardoor de efficiëntie toeneemt.
Lees meer over Stripe Radar of ga vandaag nog aan de slag.
De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.