Ověřování založené na riziku - Risk-based authentication - Wikipedia
![]() | tento článek potřebuje další citace pro ověření.Březen 2011) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) ( |
v Ověření, ověřování na základě rizika je nestatický ověřovací systém, který bere v úvahu profil (IP adresa, HTTP hlavička User-Agent, čas přístupu atd.) agenta požadujícího přístup do systému, aby určil rizikový profil spojený s touto transakcí. Rizikový profil se poté použije ke stanovení složitosti výzvy. Profily s vyšším rizikem vedou k silnějším výzvám, zatímco statické uživatelské jméno / heslo může stačit pro profily s nízkým rizikem. Implementace založená na riziku umožňuje aplikaci vyzvat uživatele k získání dalších pověření pouze v případě, že je přiměřená úroveň rizika[1][2][3].
Ověření stroje se často používá v nastavení ověřování na základě rizik. Ověřování zařízení bude spuštěno na pozadí a požádá zákazníka o další ověřování, pouze pokud počítač není rozpoznán. V systému ověřování založeného na riziku instituce rozhodne, zda je nutné další ověřování. Pokud se riziko považuje za vhodné, spustí se vylepšené ověřování, například jednorázové heslo doručené prostřednictvím komunikace mimo pásmo. Ověřování založené na riziku lze také během relace použít k výzvě k dalšímu ověření, když zákazník provede určitou vysoce rizikovou transakci, jako je převod peněz nebo změna adresy. Ověřování založené na riziku je pro zákazníka velmi výhodné, protože další kroky jsou vyžadovány pouze v případě, že je něco neobvyklého, například pokus o přihlášení z nového počítače.
— [4]
Jde o to, že přesnost ověření uživatele je vylepšena bez obtěžování uživatele[1] a ověřování založené na riziku používají velké společnosti[5].
Kritika
- Systém, který počítá rizikový profil, je třeba pečlivě udržovat a aktualizovat, jakmile se objeví nové hrozby. Nevhodný konfigurace může vést k neoprávněnému přístupu.
- Profil připojení uživatele (např. Geolokace IP, typ připojení, dynamika stisknutí kláves, uživatelské chování) musí být detekován a použit k výpočtu rizikového profilu. Nedostatečná detekce může vést k neoprávněnému přístupu.
Viz také
- Seznam řízení přístupu
- Atributové řízení přístupu (ABAC)
- Zabezpečení založené na schopnostech
- Kontextové řízení přístupu (CBAC)
- Volitelná kontrola přístupu (DAC)
- Řízení přístupu na základě grafů (GBAC)
- Řízení přístupu založené na mřížce (LBAC)
- Ověřování na základě polohy
- Povinná kontrola přístupu (MAC)
- Organizace založená na řízení přístupu (OrBAC)
- Řízení přístupu na základě rolí (RBAC)
- Řízení přístupu na základě sady pravidel (RSBAC)
Reference
- ^ A b US patent 9021555 „Takaya Kato,„ Patent ověřování na základě rizik “, vydaný 29. března 2006
- ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus. „Informační web o ověřování na základě rizik“. Ověřování založené na riziku. Citováno 2019-04-29.
- ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus (2019). Dhillon, Gurpreet; Karlsson, Fredrik; Hedström, Karin; Zúquete, André (eds.). „Jste to opravdu vy? Empirická studie o autentizaci založené na riziku aplikovaná ve volné přírodě“. Zabezpečení a ochrana soukromí systémů ICT. Pokrok IFIP v oblasti informačních a komunikačních technologií. Springer International Publishing. 562: 134–148. arXiv:2003.07622. doi:10.1007/978-3-030-22312-0_10. ISBN 9783030223120.
- ^ Williamson, G. „Vylepšené ověřování v online bankovnictví“ Journal of Economic Crime Management 4,2 (2006): 18–19. Tisk
- ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus. „Kdo používá RBA? Zjistili jsme důkazy, že jej používají Google, Facebook, LinkedIn, Amazon a GOG.com.“. Ověřování založené na riziku. Citováno 2019-04-29.
![]() | Tento článek týkající se kryptografie je pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to. |