Ce este autentificarea bazată pe risc?

Metodele de autentificare sunt de obicei grupate în câțiva factori diferiți.

1. Factori de proprietate

Carduri bancare, token-uri de securitate, telefon mobil. Obiecte fizice pe care un utilizator trebuie să le dețină. Riscurile acestor tipuri de autentificare sunt furtul și clonarea.

2. Factori de cunoaștere

Ceva ce utilizatorul știe. O parolă, un cod PIN sau un răspuns la o întrebare precum „care este prima stradă pe care ai crescut”

3. Factori inerenți

Acestea încearcă să utilizeze ceva ce utilizatorul este sau face în mod inerent, cum ar fi o amprentă digitală, modelul retinian, semnătura, fața.

Majoritatea acestor programe de securitate solicită utilizatorului să se conecteze la începutul unei sesiuni, permițându-i acestuia să facă liber orice dorește odată ce se află în interior.

Cu autentificarea bazată pe risc (RBA), un profil de risc este dinamic și nestaționar: determinat de modul în care acționează utilizatorul. Autentificarea bazată pe riscuri oferă companiei un scor privind încrederea unui utilizator. Să presupunem că un utilizator are un scor de încredere de 95 din 100, comerciantul poate decide dacă este suficient de mulțumit de acest scor de încredere sau dacă dorește să adauge un nivel superior pentru a verifica în continuare utilizatorul respectiv.

Scorul de risc poate acoperi factori precum de unde provine traficul companiei, cât de repede tastează, dacă acționează ieșit din comun. Prin monitorizarea comportamentului și a riscului unei acțiuni, furnizorii ajută companiile să detecteze profilurile de comportament suspecte. De exemplu, în cazul în care observă un potențial atac de tip Man-In-The-Browser (MITB) , compania poate lansa dinamic o metodă de autentificare Out Of Band (OOB), ceva ce nu se transmite prin internet, cum ar fi un apel telefonic sau un SMS.

Autentificarea bazată pe riscuri, susținută de tehnologia de detectare a comportamentului, este cea mai bună modalitate prin care firmele pot modifica dinamic procesul de autentificare din mers. Permite securitate maximă, întreruperi minime ale experienței utilizatorului și, prin urmare, conversii maxime.

Prefă-te, pentru o secundă, că ești un escroc.

Locuiești în Bolivia și tocmai ai primit un set complet nou de informații furate de la un bărbat pe nume Gregory Adams din Texas. Testezi cu nerăbdare acreditările pentru informațiile sale bancare pentru a transfera fonduri din contul lui Gregory în al tău. Te conectezi, te adaugi ca beneficiar și totul merge ca prin surprindere până când apare o fereastră pop-up care îți cere să furnizezi o amprentă digitală și, dacă nu reușești, te șterge din contul său.

Dar cum s-a întâmplat asta?

Ceea ce nu ați văzut este că banca avea un cadru de autentificare bazat pe risc care funcționa în fundal pe parcursul întregii sesiuni. Banca a văzut că te conectai din Bolivia, care este mult în afara zonei de activitate obișnuite a lui Gregory. Au văzut că te-ai dus direct să transferi fonduri, ceea ce este neobișnuit pentru Gregory. Ți-au văzut viteza de tastare, cadența, faptul că erai la telefon, dar Gregory se bazează mereu pe computer, împreună cu sute de alți parametri comportamentali. Au văzut că pur și simplu nu erai Gregory.

Desigur, nu poți finaliza transferul și ești eliminat din cont, în timp ce banii lui Gregory rămân în siguranță în contul său.

Astăzi, multe companii de securitate oferă autentificare bazată pe riscuri, dar diferența constă în tehnologia pe care furnizorul de software ca serviciu o folosește pentru a determina scorul. E similar cu gătitul unei lasagne: dacă folosești ingrediente grozave, ceea ce iese din cuptor va fi demn de Gordon Ramsay, dar dacă folosești ingrediente de calitate inferioară, carne pe cale să expire, legume fără gust îmbăiate în chimicale și uiți de condimente, vei obține o terci de gătit la care chiar și câinele tău se va încrunta.

O soluție bună de autentificare bazată pe risc nu numai că va construi un scor bazat pe inteligența dispozitivului (dispozitiv, locație și conexiune), dar va utiliza și tiparele comportamentale ale utilizatorului, atributele dispozitivului, istoricul utilizatorului și alți factori pentru a face scorul precis și fiabil.

Există multe semne subtile care pot fi monitorizate de soluția dvs. de autentificare bazată pe risc pentru a atribui cu precizie un scor de risc unui utilizator într-o anumită sesiune. Pentru un cadru RBA eficient, este nevoie să existe straturile corecte în mediul propriu și să se seteze reguli inteligente pentru a identifica în mod corespunzător tentativele frauduloase.