Аутентификация на основе рисков

В аутентификации аутентификация на основе риска — это нестатическая система аутентификации, которая учитывает профиль (IP-адрес, HTTP-заголовок User-Agent, время доступа и т. д.). ^[1]) агента, запрашивающего доступ к системе, для определения профиля риска, связанного с этой транзакцией. Затем профиль риска используется для определения сложности проблемы. Профили с более высоким риском приводят к более серьезным проблемам, тогда как статического имени пользователя и пароля может быть достаточно для профилей с низким уровнем риска. Реализация на основе рисков позволяет приложению запрашивать у пользователя дополнительные учетные данные только тогда, когда уровень риска является подходящим. ^[2]^[3]^[4]

Машинная аутентификация часто используется при настройке аутентификации на основе риска. Аутентификация компьютера будет выполняться в фоновом режиме и запрашивать у клиента дополнительную аутентификацию только в том случае, если компьютер не распознан. В системе аутентификации на основе рисков учреждение решает, необходима ли дополнительная аутентификация. Если риск будет сочтен приемлемым, будет активирована усиленная аутентификация, например, с помощью одноразового пароля, передаваемого по внешнему каналу связи. Аутентификацию на основе риска также можно использовать во время сеанса для запроса дополнительной аутентификации, когда клиент выполняет определенную транзакцию с высоким риском, например денежный перевод или смену адреса. Аутентификация на основе рисков очень выгодна для клиента, поскольку дополнительные действия требуются только в том случае, если что-то необычно, например, попытка входа в систему с нового компьютера.
— ^[5]

Дело в том, что точность проверки пользователя повышается, не причиняя пользователю неудобств. ^[2]^[6] а аутентификация на основе рисков используется крупными компаниями. ^[7]

Критика

Система, рассчитывающая профиль риска, должна тщательно обслуживаться и обновляться по мере появления новых угроз. Неправильная конфигурация может привести к несанкционированному доступу. ^[8]
Профиль подключения пользователя (например, геолокация IP , тип подключения, динамика нажатия клавиш , поведение пользователя) должен быть обнаружен и использован для расчета профиля риска. Отсутствие надлежащего обнаружения может привести к несанкционированному доступу.

См. также

Ссылки

^ Вифлинг, Стефан; Дюрмут, Маркус; Ло Яконо, Луиджи (26 января 2021 г.). «Что важно для пользователей веб-сайта: долгосрочное исследование характеристик аутентификации на основе рисков, основанное на данных» (PDF) . Финансовая криптография и безопасность данных . ФК '21. Том. 12675. стр. 361–381. arXiv : 2101.10681 . дои : 10.1007/978-3-662-64331-0_19 . ISBN 978-3-662-64330-3 . S2CID 231709486 .
^ Перейти обратно: ^а ^б Патент США 9021555 , Такая Като, «Патент на аутентификацию на основе рисков», выдан 29 марта 2006 г.
^ Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус. «Информационный сайт по риск-ориентированной аутентификации» . Аутентификация на основе рисков . Проверено 29 апреля 2019 г.
^ Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус (2019). «Это действительно ты? Эмпирическое исследование аутентификации на основе рисков, применяемой в дикой природе» . В Диллоне, Гурприт; Карлссон, Фредрик; Хедстрем, Карин; Сукете, Андре (ред.). Безопасность ИКТ-систем и защита конфиденциальности . ИФИП: Достижения в области информационных и коммуникационных технологий. Том. 562. Международное издательство Спрингер. стр. 134–148. arXiv : 2003.07622 . дои : 10.1007/978-3-030-22312-0_10 . ISBN 9783030223120 . S2CID 189926752 .
^ Уильямсон, Г. (2006). «Расширенная аутентификация в онлайн-банкинге» (PDF) . Журнал управления экономической преступностью . 4 (2): 18–19.
^ Вифлинг, Стефан; Дюрмут, Маркус; Ло Яконо, Луиджи (07 декабря 2020 г.). «Больше, чем просто хорошие пароли? Исследование удобства использования и безопасности аутентификации на основе рисков» . Ежегодная конференция по приложениям компьютерной безопасности . АКСАК '20. Остин, США: Ассоциация вычислительной техники. стр. 203–218. arXiv : 2010.00339 . дои : 10.1145/3427228.3427243 . ISBN 978-1-4503-8858-0 .
^ Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус. «Кто использует RBA? Мы обнаружили доказательства того, что его используют Google, Facebook, LinkedIn, Amazon и GOG.com» . Аутентификация на основе рисков . Проверено 29 апреля 2019 г.
^ Борки, Джон М.; Брэдли, Томас Х. (2019). «Защита информации с помощью кибербезопасности». В Борки, Джон М.; Брэдли, Томас Х. (ред.). Эффективная системная инженерия на основе моделей . Чам: Международное издательство Springer. стр. 345–404. дои : 10.1007/978-3-319-95669-5_10 . ISBN 978-3-319-95669-5 . ПМЦ 7122347 . Проверено 28 августа 2023 г.

Патент США 20 050 097 320

Эта статья, посвященная криптографии, незавершена . Вы можете помочь Википедии, расширив ее .

[1] Вифлинг, Стефан; Дюрмут, Маркус; Ло Яконо, Луиджи (26 января 2021 г.). «Что важно для пользователей веб-сайта: долгосрочное исследование характеристик аутентификации на основе рисков, основанное на данных» (PDF) . Финансовая криптография и безопасность данных . ФК '21. Том. 12675. стр. 361–381. arXiv : 2101.10681 . дои : 10.1007/978-3-662-64331-0_19 . ISBN 978-3-662-64330-3 . S2CID 231709486 .

[Risk-based_authentication_patent-2] Перейти обратно: ^а ^б Патент США 9021555 , Такая Като, «Патент на аутентификацию на основе рисков», выдан 29 марта 2006 г.

[3] Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус. «Информационный сайт по риск-ориентированной аутентификации» . Аутентификация на основе рисков . Проверено 29 апреля 2019 г.

[4] Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус (2019). «Это действительно ты? Эмпирическое исследование аутентификации на основе рисков, применяемой в дикой природе» . В Диллоне, Гурприт; Карлссон, Фредрик; Хедстрем, Карин; Сукете, Андре (ред.). Безопасность ИКТ-систем и защита конфиденциальности . ИФИП: Достижения в области информационных и коммуникационных технологий. Том. 562. Международное издательство Спрингер. стр. 134–148. arXiv : 2003.07622 . дои : 10.1007/978-3-030-22312-0_10 . ISBN 9783030223120 . S2CID 189926752 .

[5] Уильямсон, Г. (2006). «Расширенная аутентификация в онлайн-банкинге» (PDF) . Журнал управления экономической преступностью . 4 (2): 18–19.

[6] Вифлинг, Стефан; Дюрмут, Маркус; Ло Яконо, Луиджи (07 декабря 2020 г.). «Больше, чем просто хорошие пароли? Исследование удобства использования и безопасности аутентификации на основе рисков» . Ежегодная конференция по приложениям компьютерной безопасности . АКСАК '20. Остин, США: Ассоциация вычислительной техники. стр. 203–218. arXiv : 2010.00339 . дои : 10.1145/3427228.3427243 . ISBN 978-1-4503-8858-0 .

[7] Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус. «Кто использует RBA? Мы обнаружили доказательства того, что его используют Google, Facebook, LinkedIn, Amazon и GOG.com» . Аутентификация на основе рисков . Проверено 29 апреля 2019 г.

[8] Борки, Джон М.; Брэдли, Томас Х. (2019). «Защита информации с помощью кибербезопасности». В Борки, Джон М.; Брэдли, Томас Х. (ред.). Эффективная системная инженерия на основе моделей . Чам: Международное издательство Springer. стр. 345–404. дои : 10.1007/978-3-319-95669-5_10 . ISBN 978-3-319-95669-5 . ПМЦ 7122347 . Проверено 28 августа 2023 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]