Mi a kockázatalapú hitelesítés?

A hitelesítési módszereket általában néhány különböző tényező szerint csoportosítják.

1. Tulajdonosi tényezők

Bankkártyák, biztonsági zsetonok, mobiltelefon. Fizikai tárgyak, amelyeknek a felhasználó birtokában kell lenniük. Az ilyen típusú hitelesítés kockázatai a lopás és a klónozás.

2. Tudási tényezők

Valami, amit a felhasználó tud. Jelszó, PIN-kód vagy válasz egy olyan kérdésre, mint például "melyik az első utca, ahol felnőttél".

3. Belülről fakadó tényezők

Ezek megpróbálnak felhasználni valamit, ami a felhasználó eredendően van vagy tesz, például ujjlenyomatot, retinamintát, aláírást, arcot.

A legtöbb ilyen típusú biztonsági szoftver a munkamenet kezdetén kéri a felhasználó bejelentkezését, lehetővé téve a felhasználó számára, hogy szabadon tegye, amit szeretne, ha egyszer már bent van.

A kockázatalapú hitelesítés (RBA) esetében a kockázati profil dinamikus és nem állandó: a felhasználó viselkedése határozza meg. A kockázatalapú hitelesítés a vállalat számára a felhasználó bizalmáról szóló pontszámot biztosít. Tegyük fel, hogy egy felhasználó bizalmi pontszáma 95 a 100-ból, akkor a kereskedő eldöntheti, hogy elégedett-e ezzel a bizalmi pontszámmal, vagy szeretne még egy lépcsőfokot hozzáadni az adott felhasználó további ellenőrzéséhez.

A kockázati pontszám olyan tényezőkre terjedhet ki, mint például, hogy honnan érkezik a vállalat forgalma, milyen gyorsan gépelnek, nem viselkednek-e szokatlanul. A viselkedés és a kockázat nyomon követésével a szállítók segítenek a vállalatoknak a gyanús viselkedési profilok felismerésében. Például egy esetleges Man-In-The-Browser (MITB) támadás észlelése esetén a vállalat dinamikusan elindíthat egy OOB (Out Of Band) hitelesítési módszert, ami nem az interneten keresztül továbbított, például telefonhívás vagy SMS.

A kockázatalapú hitelesítés, amelyet a viselkedést átható technológia támogat, a legjobb módja annak, hogy a cégek menet közben dinamikusan megváltoztassák a hitelesítési folyamatot. Maximális biztonságot, a felhasználói élmény minimális megszakítását és ezáltal maximális konverziót tesz lehetővé.

Tegyük fel egy percre, hogy ön egy csaló.

Ön Bolíviában él, és most kapott egy vadonatúj, lopott információt egy Gregory Adams nevű texasi férfitól. Lelkesen teszteli a banki adataihoz szükséges hitelesítő adatokat, hogy átutalhasson pénzt Gregory számlájáról a sajátjára. Bejelentkezik, hozzáadja magát kedvezményezettként, és minden szépen megy, amíg nem jön egy felugró ablak, amely ujjlenyomatot kér, és ha ezt nem teszi meg, kirúgja Önt a számlájáról.

De hogyan történt ez?

Amit nem látott, az az, hogy a bank a háttérben az egész munkamenet alatt kockázatalapú hitelesítési keretrendszerrel dolgozott. A bank látta, hogy Ön Bolíviából jelentkezik be, ami messze kívül esik Gregory szokásos tevékenységi körén. Látták, hogy egyenesen az átutaláshoz mentél, ami szokatlan Gregorynál. Látták a gépelési sebességedet, a ritmusodat, azt a tényt, hogy telefonálsz, de Gregory mindig a számítógépén bankol, valamint több száz más viselkedési paramétert. Látták, hogy egyszerűen nem vagy Gregory.

Természetesen nem tudod befejezni az átutalást, és most ki vagy rúgva a számláról, míg Gregory pénze biztonságban marad a számláján.

Ma már számos biztonsági cég kínál kockázatalapú hitelesítést, de a különbség abban a technológiában rejlik, amelyet a szoftver mint szolgáltatás szállítója a pontszám meghatározásához használ. Ez hasonló a lasagne főzéséhez: ha remek alapanyagokat használsz, akkor Gordon-Ramsay-értékű lesz, ami a sütőből kijön, de ha gyenge minőségű alapanyagokat, lejárófélben lévő húst, vegyszerekben fürdetett, ízetlen zöldségeket használsz, és a fűszerekről is megfeledkezel, akkor olyan pépet kapsz, amitől még a kutyád is rosszallóan nézne.

Egy jó kockázatalapú hitelesítési megoldás nem csak az eszköz intelligenciája (eszköz, hely és kapcsolat) alapján készít pontszámot, hanem a felhasználó viselkedési mintáit, az eszköz attribútumait, a felhasználói előzményeket és más tényezőket is felhasznál, hogy a pontszám pontos és megbízható legyen.

Számos olyan finom jel van, amelyet a kockázatalapú hitelesítési megoldás figyelemmel kísérhet, hogy pontosan hozzárendelhesse a kockázati pontszámot egy adott munkamenetben lévő felhasználóhoz. Egy hatékony RBA keretrendszerhez a megfelelő rétegekre van szükség a környezetükben, és intelligens szabályokat kell beállítani a csalási kísérletek megfelelő azonosításához.