Ověřování založené na riziku - Risk-based authentication - Wikipedia

v Ověření, ověřování na základě rizika je nestatický ověřovací systém, který bere v úvahu profil (IP adresa, HTTP hlavička User-Agent, čas přístupu atd.) agenta požadujícího přístup do systému, aby určil rizikový profil spojený s touto transakcí. Rizikový profil se poté použije ke stanovení složitosti výzvy. Profily s vyšším rizikem vedou k silnějším výzvám, zatímco statické uživatelské jméno / heslo může stačit pro profily s nízkým rizikem. Implementace založená na riziku umožňuje aplikaci vyzvat uživatele k získání dalších pověření pouze v případě, že je přiměřená úroveň rizika[1][2][3].

Ověření stroje se často používá v nastavení ověřování na základě rizik. Ověřování zařízení bude spuštěno na pozadí a požádá zákazníka o další ověřování, pouze pokud počítač není rozpoznán. V systému ověřování založeného na riziku instituce rozhodne, zda je nutné další ověřování. Pokud se riziko považuje za vhodné, spustí se vylepšené ověřování, například jednorázové heslo doručené prostřednictvím komunikace mimo pásmo. Ověřování založené na riziku lze také během relace použít k výzvě k dalšímu ověření, když zákazník provede určitou vysoce rizikovou transakci, jako je převod peněz nebo změna adresy. Ověřování založené na riziku je pro zákazníka velmi výhodné, protože další kroky jsou vyžadovány pouze v případě, že je něco neobvyklého, například pokus o přihlášení z nového počítače.

— [4]

Jde o to, že přesnost ověření uživatele je vylepšena bez obtěžování uživatele[1] a ověřování založené na riziku používají velké společnosti[5].

Kritika

  • Systém, který počítá rizikový profil, je třeba pečlivě udržovat a aktualizovat, jakmile se objeví nové hrozby. Nevhodný konfigurace může vést k neoprávněnému přístupu.
  • Profil připojení uživatele (např. Geolokace IP, typ připojení, dynamika stisknutí kláves, uživatelské chování) musí být detekován a použit k výpočtu rizikového profilu. Nedostatečná detekce může vést k neoprávněnému přístupu.

Viz také

Reference

  1. ^ A b US patent 9021555 „Takaya Kato,„ Patent ověřování na základě rizik “, vydaný 29. března 2006 
  2. ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus. „Informační web o ověřování na základě rizik“. Ověřování založené na riziku. Citováno 2019-04-29.
  3. ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus (2019). Dhillon, Gurpreet; Karlsson, Fredrik; Hedström, Karin; Zúquete, André (eds.). „Jste to opravdu vy? Empirická studie o autentizaci založené na riziku aplikovaná ve volné přírodě“. Zabezpečení a ochrana soukromí systémů ICT. Pokrok IFIP v oblasti informačních a komunikačních technologií. Springer International Publishing. 562: 134–148. arXiv:2003.07622. doi:10.1007/978-3-030-22312-0_10. ISBN  9783030223120.
  4. ^ Williamson, G. „Vylepšené ověřování v online bankovnictví“ Journal of Economic Crime Management 4,2 (2006): 18–19. Tisk
  5. ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus. „Kdo používá RBA? Zjistili jsme důkazy, že jej používají Google, Facebook, LinkedIn, Amazon a GOG.com.“. Ověřování založené na riziku. Citováno 2019-04-29.