Аутентификация на основе рисков
Эта статья нуждается в дополнительных цитатах для проверки . ( март 2011 г. ) |
В аутентификации аутентификация на основе риска — это нестатическая система аутентификации, которая учитывает профиль (IP-адрес, HTTP-заголовок User-Agent, время доступа и т. д.). [1] ) агента, запрашивающего доступ к системе, для определения профиля риска, связанного с этой транзакцией. Затем профиль риска используется для определения сложности проблемы. Профили с более высоким риском приводят к более серьезным проблемам, тогда как статического имени пользователя и пароля может быть достаточно для профилей с низким уровнем риска. Реализация на основе рисков позволяет приложению запрашивать у пользователя дополнительные учетные данные только тогда, когда уровень риска является подходящим. [2] [3] [4]
Машинная аутентификация часто используется при настройке аутентификации на основе риска. Аутентификация компьютера будет выполняться в фоновом режиме и запрашивать у клиента дополнительную аутентификацию только в том случае, если компьютер не распознан. В системе аутентификации на основе рисков учреждение решает, необходима ли дополнительная аутентификация. Если риск будет сочтен приемлемым, будет активирована усиленная аутентификация, например, с помощью одноразового пароля, передаваемого по внешнему каналу связи. Аутентификацию на основе риска также можно использовать во время сеанса для запроса дополнительной аутентификации, когда клиент выполняет определенную транзакцию с высоким риском, например денежный перевод или смену адреса. Аутентификация на основе рисков очень выгодна для клиента, поскольку дополнительные действия требуются только в том случае, если что-то необычно, например, попытка входа в систему с нового компьютера.
— [5]
Дело в том, что точность проверки пользователя повышается, не причиняя пользователю неудобств. [2] [6] а аутентификация на основе рисков используется крупными компаниями. [7]
Критика
[ редактировать ]- Система, рассчитывающая профиль риска, должна тщательно обслуживаться и обновляться по мере появления новых угроз. Неправильная конфигурация может привести к несанкционированному доступу. [8]
- Профиль подключения пользователя (например, геолокация IP , тип подключения, динамика нажатия клавиш , поведение пользователя) должен быть обнаружен и использован для расчета профиля риска. Отсутствие надлежащего обнаружения может привести к несанкционированному доступу.
См. также
[ редактировать ]- Список контроля доступа
- Управление доступом на основе атрибутов (ABAC)
- Безопасность на основе возможностей
- Контекстно-ориентированный контроль доступа (CBAC)
- Дискреционный контроль доступа (DAC)
- Контроль доступа на основе графов (GBAC)
- Контроль доступа на основе решеток (LBAC)
- Обязательный контроль доступа (MAC)
- Контроль доступа на уровне организации (OrBAC)
- Управление доступом на основе ролей (RBAC)
- Управление доступом на основе набора правил (RSBAC)
Ссылки
[ редактировать ]- ^ Вифлинг, Стефан; Дюрмут, Маркус; Ло Яконо, Луиджи (26 января 2021 г.). «Что важно для пользователей веб-сайта: долгосрочное исследование характеристик аутентификации на основе рисков, основанное на данных» (PDF) . Финансовая криптография и безопасность данных . ФК '21. Том. 12675. стр. 361–381. arXiv : 2101.10681 . дои : 10.1007/978-3-662-64331-0_19 . ISBN 978-3-662-64330-3 . S2CID 231709486 .
- ^ Перейти обратно: а б Патент США 9021555 , Такая Като, «Патент на аутентификацию на основе рисков», выдан 29 марта 2006 г.
- ^ Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус. «Информационный сайт по риск-ориентированной аутентификации» . Аутентификация на основе рисков . Проверено 29 апреля 2019 г.
- ^ Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус (2019). «Это действительно ты? Эмпирическое исследование аутентификации на основе рисков, применяемой в дикой природе» . В Диллоне, Гурприт; Карлссон, Фредрик; Хедстрем, Карин; Сукете, Андре (ред.). Безопасность ИКТ-систем и защита конфиденциальности . ИФИП: Достижения в области информационных и коммуникационных технологий. Том. 562. Международное издательство Спрингер. стр. 134–148. arXiv : 2003.07622 . дои : 10.1007/978-3-030-22312-0_10 . ISBN 9783030223120 . S2CID 189926752 .
- ^ Уильямсон, Г. (2006). «Расширенная аутентификация в онлайн-банкинге» (PDF) . Журнал управления экономической преступностью . 4 (2): 18–19.
- ^ Вифлинг, Стефан; Дюрмут, Маркус; Ло Яконо, Луиджи (07 декабря 2020 г.). «Больше, чем просто хорошие пароли? Исследование удобства использования и безопасности аутентификации на основе рисков» . Ежегодная конференция по приложениям компьютерной безопасности . АКСАК '20. Остин, США: Ассоциация вычислительной техники. стр. 203–218. arXiv : 2010.00339 . дои : 10.1145/3427228.3427243 . ISBN 978-1-4503-8858-0 .
- ^ Вифлинг, Стефан; Ло Яконо, Луиджи; Дюрмут, Маркус. «Кто использует RBA? Мы обнаружили доказательства того, что его используют Google, Facebook, LinkedIn, Amazon и GOG.com» . Аутентификация на основе рисков . Проверено 29 апреля 2019 г.
- ^ Борки, Джон М.; Брэдли, Томас Х. (2019). «Защита информации с помощью кибербезопасности». В Борки, Джон М.; Брэдли, Томас Х. (ред.). Эффективная системная инженерия на основе моделей . Чам: Международное издательство Springer. стр. 345–404. дои : 10.1007/978-3-319-95669-5_10 . ISBN 978-3-319-95669-5 . ПМЦ 7122347 . Проверено 28 августа 2023 г.