Jump to content

Аутентификация на основе рисков

В аутентификации аутентификация на основе риска — это нестатическая система аутентификации, которая учитывает профиль (IP-адрес, HTTP-заголовок User-Agent, время доступа и т. д.). [1] ) агента, запрашивающего доступ к системе, для определения профиля риска, связанного с этой транзакцией. Затем профиль риска используется для определения сложности проблемы. Профили с более высоким риском приводят к более серьезным проблемам, тогда как статического имени пользователя и пароля может быть достаточно для профилей с низким уровнем риска. Реализация на основе рисков позволяет приложению запрашивать у пользователя дополнительные учетные данные только тогда, когда уровень риска является подходящим. [2] [3] [4]

Машинная аутентификация часто используется при настройке аутентификации на основе риска. Аутентификация компьютера будет выполняться в фоновом режиме и запрашивать у клиента дополнительную аутентификацию только в том случае, если компьютер не распознан. В системе аутентификации на основе рисков учреждение решает, необходима ли дополнительная аутентификация. Если риск будет сочтен приемлемым, будет активирована усиленная аутентификация, например, с помощью одноразового пароля, передаваемого по внешнему каналу связи. Аутентификацию на основе риска также можно использовать во время сеанса для запроса дополнительной аутентификации, когда клиент выполняет определенную транзакцию с высоким риском, например денежный перевод или смену адреса. Аутентификация на основе рисков очень выгодна для клиента, поскольку дополнительные действия требуются только в том случае, если что-то необычно, например, попытка входа в систему с нового компьютера.

—  [5]

Дело в том, что точность проверки пользователя повышается, не причиняя пользователю неудобств. [2] [6] а аутентификация на основе рисков используется крупными компаниями. [7]

  • Система, рассчитывающая профиль риска, должна тщательно обслуживаться и обновляться по мере появления новых угроз. Неправильная конфигурация может привести к несанкционированному доступу. [8]
  • Профиль подключения пользователя (например, геолокация IP , тип подключения, динамика нажатия клавиш , поведение пользователя) должен быть обнаружен и использован для расчета профиля риска. Отсутствие надлежащего обнаружения может привести к несанкционированному доступу.

См. также

[ редактировать ]
  1. ^ Вифлинг, Стефан; Дюрмут, Маркус; Ло Яконо, Луиджи (26 января 2021 г.). «Что важно для пользователей веб-сайта: долгосрочное исследование характеристик аутентификации на основе рисков, основанное на данных» (PDF) . Финансовая криптография и безопасность данных . ФК '21. Том. 12675. стр. 361–381. arXiv : 2101.10681 . дои : 10.1007/978-3-662-64331-0_19 . ISBN  978-3-662-64330-3 . S2CID   231709486 .
  2. ^ Перейти обратно: а б Патент США 9021555 , Такая Като, «Патент на аутентификацию на основе рисков», выдан 29 марта 2006 г.  
  3. ^ Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус. «Информационный сайт по риск-ориентированной аутентификации» . Аутентификация на основе рисков . Проверено 29 апреля 2019 г.
  4. ^ Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус (2019). «Это действительно ты? Эмпирическое исследование аутентификации на основе рисков, применяемой в дикой природе» . В Диллоне, Гурприт; Карлссон, Фредрик; Хедстрем, Карин; Сукете, Андре (ред.). Безопасность ИКТ-систем и защита конфиденциальности . ИФИП: Достижения в области информационных и коммуникационных технологий. Том. 562. Международное издательство Спрингер. стр. 134–148. arXiv : 2003.07622 . дои : 10.1007/978-3-030-22312-0_10 . ISBN  9783030223120 . S2CID   189926752 .
  5. ^ Уильямсон, Г. (2006). «Расширенная аутентификация в онлайн-банкинге» (PDF) . Журнал управления экономической преступностью . 4 (2): 18–19.
  6. ^ Вифлинг, Стефан; Дюрмут, Маркус; Ло Яконо, Луиджи (07 декабря 2020 г.). «Больше, чем просто хорошие пароли? Исследование удобства использования и безопасности аутентификации на основе рисков» . Ежегодная конференция по приложениям компьютерной безопасности . АКСАК '20. Остин, США: Ассоциация вычислительной техники. стр. 203–218. arXiv : 2010.00339 . дои : 10.1145/3427228.3427243 . ISBN  978-1-4503-8858-0 .
  7. ^ Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус. «Кто использует RBA? Мы обнаружили доказательства того, что его используют Google, Facebook, LinkedIn, Amazon и GOG.com» . Аутентификация на основе рисков . Проверено 29 апреля 2019 г.
  8. ^ Борки, Джон М.; Брэдли, Томас Х. (2019). «Защита информации с помощью кибербезопасности». В Борки, Джон М.; Брэдли, Томас Х. (ред.). Эффективная системная инженерия на основе моделей . Чам: Международное издательство Springer. стр. 345–404. дои : 10.1007/978-3-319-95669-5_10 . ISBN  978-3-319-95669-5 . ПМЦ   7122347 . Проверено 28 августа 2023 г.


Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 2dd94bb2bcc77b01953a11c2a39f04f9__1707312600
URL1:https://arc.ask3.ru/arc/aa/2d/f9/2dd94bb2bcc77b01953a11c2a39f04f9.html
Заголовок, (Title) документа по адресу, URL1:
Risk-based authentication - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)