Was ist risikobasierte Authentifizierung?

Authentifizierungsmethoden werden üblicherweise in einige wenige verschiedene Faktoren unterteilt.

1. Eigentumsfaktoren

Bankkarten, Sicherheitstoken, Mobiltelefon. Physische Gegenstände, die ein Benutzer besitzen muss. Die Risiken dieser Authentifizierungsmethoden bestehen in Diebstahl und Klonen.

2. Wissensfaktoren

Etwas, das der Benutzer weiß. Ein Passwort, eine PIN oder die Antwort auf eine Frage wie „In welcher Straße sind Sie als Kind aufgewachsen?“

3. Inhärente Faktoren

Diese versuchen, etwas zu nutzen, was der Benutzer von Natur aus ist oder tut, wie zum Beispiel einen Fingerabdruck, ein Netzhautmuster, eine Unterschrift oder ein Gesicht.

Die meisten dieser Sicherheitssoftwarelösungen verlangen vom Benutzer, sich zu Beginn einer Sitzung anzumelden, lassen ihm aber nach dem Einloggen freie Hand, zu tun, was er will.

Bei der risikobasierten Authentifizierung (RBA) ist das Risikoprofil dynamisch und nicht stationär: Es wird durch das Verhalten des Benutzers bestimmt. Die risikobasierte Authentifizierung liefert dem Unternehmen eine Bewertung des Vertrauens eines Benutzers. Angenommen, ein Nutzer hat einen Vertrauenswert von 95 von 100 Punkten, dann kann der Händler entscheiden, ob er mit diesem Vertrauenswert zufrieden ist oder ob er einen zusätzlichen Sicherheitsschritt einführen möchte, um diesen Nutzer weiter zu verifizieren.

Die Risikobewertung kann Faktoren wie die Herkunft des Kundenverkehrs des Unternehmens, die Tippgeschwindigkeit und ungewöhnliches Verhalten berücksichtigen. Durch die Überwachung des Verhaltens und des Risikos einer Handlung helfen Anbieter Unternehmen dabei, verdächtige Verhaltensprofile zu erkennen. Wenn das Unternehmen beispielsweise einen potenziellen Man-in-the-Browser-Angriff (MITB) bemerkt, kann es dynamisch eine Out-of-Band-Authentifizierungsmethode (OOB) starten, die nicht über das Internet übertragen wird, wie etwa ein Telefonanruf oder eine SMS.

Risikobasierte Authentifizierung, unterstützt durch verhaltensbasierte Analysetechnologie, ist für Unternehmen der beste Weg, den Authentifizierungsprozess dynamisch und spontan anzupassen. Es ermöglicht maximale Sicherheit, minimale Beeinträchtigung des Nutzererlebnisses und somit maximale Konversionsraten.

Stellen Sie sich für einen Moment vor, Sie wären ein Betrüger.

Sie leben in Bolivien und haben gerade von einem Mann namens Gregory Adams aus Texas eine brandneue Reihe gestohlener Informationen erhalten. Sie testen voller Eifer die Zugangsdaten für seine Bankverbindung, um Geld von Gregorys Konto auf Ihres zu überweisen. Sie loggen sich ein, fügen sich selbst als Zahlungsempfänger hinzu, und alles läuft reibungslos, bis ein Pop-up erscheint, in dem Sie aufgefordert werden, einen Fingerabdruck anzugeben, und Sie bei Nichterfüllung dieser Aufforderung aus seinem Konto geworfen werden.

Aber wie konnte das passieren?

Was Sie nicht gesehen haben, ist, dass die Bank während der gesamten Sitzung im Hintergrund ein risikobasiertes Authentifizierungssystem laufen hatte. Die Bank stellte fest, dass Sie sich von Bolivien aus einloggen, was weit außerhalb von Gregorys üblichem Aktivitätsbereich liegt. Sie haben gesehen, dass Sie direkt Geld überwiesen haben, was für Gregory ungewöhnlich ist. Sie beobachteten Ihre Tippgeschwindigkeit, Ihren Rhythmus, die Tatsache, dass Sie telefonierten, aber Gregory verlässt sich immer auf seinen Computer, sowie Hunderte anderer Verhaltensparameter. Sie haben erkannt, dass du einfach nicht Gregory warst.

Natürlich können Sie die Überweisung nicht abschließen und werden nun vom Konto abgemeldet, während Gregorys Geld sicher auf seinem Konto verbleibt.

Heute bieten viele Sicherheitsunternehmen risikobasierte Authentifizierung an, der Unterschied liegt jedoch in der Technologie, die der Software-as-a-Service-Anbieter zur Ermittlung der Punktzahl verwendet. Es ist ähnlich wie beim Kochen einer Lasagne: Verwendet man hochwertige Zutaten, erhält man ein Gericht, das Gordon Ramsay würdig wäre; verwendet man hingegen minderwertige Zutaten, Fleisch, das kurz vor dem Verfallsdatum steht, geschmackloses, in Chemikalien getränktes Gemüse und vergisst zudem die Gewürze, erhält man einen Brei, den selbst der Hund verschmähen würde.

Eine gute risikobasierte Authentifizierungslösung erstellt nicht nur eine Bewertung auf Basis von Geräteinformationen (Gerät, Standort und Verbindung), sondern berücksichtigt auch die Verhaltensmuster des Benutzers, die Geräteattribute, die Benutzerhistorie und andere Faktoren, um eine genaue und zuverlässige Bewertung zu gewährleisten.

Es gibt viele subtile Anzeichen, die von Ihrer risikobasierten Authentifizierungslösung überwacht werden können, um einem Benutzer in einer bestimmten Sitzung eine genaue Risikobewertung zuzuweisen. Für ein effektives RBA-Framework benötigt man die richtigen Ebenen in seiner Umgebung und muss intelligente Regeln festlegen, um betrügerische Versuche richtig zu erkennen.