Что такое аутентификация, основанная на рисках?

Методы аутентификации обычно делятся по нескольким факторам.

1. Факторы собственности

Банковские карты, жетоны безопасности, мобильный телефон. Физические объекты, которыми пользователь обязан обладать. Риски таких видов аутентификации связаны с кражей и клонированием.

2. Факторы знаний

Что-то, что пользователь знает. Пароль, PIN-код или ответ на вопрос вроде «какая первая улица, на которой вы выросли?»

3. Присущие факторы

Они стремятся использовать то, чем пользователь по своей природе является или делает, например, отпечаток пальца, узор сетчатки, подпись, лицо.

Большинство типов этого программного обеспечения требуют от пользователя входа в систему в начале сессии, давая ему свободу действий по своему усмотрению.

При аутентификации на основе рисков (RBA) профиль риска является динамическим и нестационарным: он определяется тем, как ведет себя пользователь. Аутентификация, основанная на рисках, даёт бизнесу оценку уверенности пользователя. Допустим, у пользователя рейтинг доверия 95 из 100, тогда продавец может решить, достаточно ли он уверен в этом рейтинге или хочет добавить шаг выше для дополнительной проверки конкретного пользователя.

Рейтинг риска может охватывать такие факторы, как откуда поступает трафик компании, скорость их печати, поведение необычного. Отслеживая поведение и риск действия, поставщики помогают компаниям выявлять подозрительные профили поведения. Например, в случае обнаружения потенциальной атаки « человек в браузере» (MITB) компания может динамически запустить метод аутентификации Out Of Band (OOB), который не передаётся через интернет, например, телефонный звонок или SMS.

Аутентификация, основанная на рисках, подкреплённая технологией пирсинга поведения — лучший способ для компаний динамически менять процесс аутентификации на лету. Он обеспечивает максимальную безопасность, минимальное прерывание пользовательского опыта и, соответственно, максимальное количество конвертов.

Притворись, хоть на минуту, что ты мошенник.

Вы живете в Боливии и только что получили новый набор украденной информации от человека по имени Грегори Адамс из Техаса. Вы с нетерпением проверяете данные его банковского счета, чтобы перевести средства со счета Грегори на свой. Вы входите в систему, добавляете себя в качестве получателя платежа, и все идет как по маслу, пока не появляется всплывающее окно с просьбой предоставить отпечаток пальца, и в случае отказа вас исключают из его аккаунта.

Но как это произошло?

Вы не заметили, что в банке был фоновый фреймворк аутентификации на основе риска на протяжении всей сессии. Банк увидел, что вы входите из Боливии, что далеко за пределами зоны обычной активности Грегори. Они увидели, что ты напрямую пошёл переводить деньги, что необычно для Грегори. Они видели твою скорость печати, твой ритм, тот факт, что ты на телефоне, но Грегори всегда опирается на свой компьютер и сотни других поведенческих параметров. Они увидели, что ты просто не Грегори.

Разумеется, завершить перевод не удаётся, и вас выкидывает из аккаунта, в то время как деньги Грегори остаются в безопасности на его счёте.

Сегодня многие компании по безопасности предлагают аутентификацию на основе риска, но разница заключается в технологиях, которые использует поставщик программного обеспечения для определения оценки. Это похоже на приготовление лазаньи: если использовать отличные ингредиенты, то, что выйдет из духовки, будет достойно Гордона Рамзи, но если использовать низкокачественные ингредиенты, мясо, которое вот-вот истекает, безвкусные овощи, пропитанные химикатами, и забыть о специях, получится каша, которую даже ваша собака не одобрит.

Хорошее решение для аутентификации, основанное на рисках, не только построит оценку на основе интеллекта устройства (устройство, местоположение и соединение), но и использует поведенческие паттерны пользователя, атрибуты устройства, историю пользователя и другие факторы для обеспечения точности и надёжности оценки.

Существует множество едва заметных признаков, которые ваше решение для аутентификации на основе оценки рисков может отслеживать, чтобы точно присвоить пользователю оценку риска в рамках конкретной сессии. Для эффективной работы системы RBA необходимо иметь в своей среде соответствующие уровни и установить продуманные правила для надлежащего выявления мошеннических попыток.