Čo je autentifikácia založená na riziku?

Metódy overovania sa zvyčajne delia na niekoľko rôznych faktorov.

1. Faktory vlastníctva

Bankové karty, bezpečnostné žetóny, mobilný telefón. Fyzické objekty, ktoré musí mať používateľ k dispozícii. Riziká týchto typov autentifikácie sú krádež a klonovanie.

2. Faktory vedomostí

Niečo, čo používateľ vie. Heslo, PIN kód alebo odpoveď na otázku typu „aká je prvá ulica, na ktorej ste vyrastali?“

3. Inherentné faktory

Tieto sa snažia využiť niečo, čo používateľ vo svojej podstate je alebo čo robí, ako napríklad odtlačok prsta, vzor sietnice, podpis alebo tvár.

Väčšina typov tohto bezpečnostného softvéru vyžaduje od používateľa prihlásenie na začiatku relácie, čo mu umožňuje robiť si, čo chce.

Pri autentifikácii na základe rizika (RBA) je rizikový profil dynamický a nestacionárny: určený tým, ako sa používateľ správa. Autentifikácia založená na riziku poskytuje firme skóre dôveryhodnosti používateľa. Povedzme, že používateľ má skóre dôveryhodnosti 95 zo 100, potom sa obchodník môže rozhodnúť, či je s týmto skóre dôveryhodnosti dostatočne spokojný, alebo či by chcel pridať krok vyššie na ďalšie overenie daného používateľa.

Skóre rizika môže zahŕňať faktory, ako napríklad odkiaľ pochádza návštevnosť spoločnosti, ako rýchlo píšu, či sa správajú nezvyčajne. Monitorovaním správania a rizika akcie pomáhajú dodávatelia spoločnostiam odhaľovať podozrivé profily správania. Napríklad v prípade zistenia potenciálneho útoku typu Man-In-The-Browser (MITB) môže spoločnosť dynamicky spustiť metódu overovania mimo pásma (OOB), čo je niečo, čo sa neprenáša cez internet, ako napríklad telefonát alebo SMS.

Autentifikácia založená na riziku podporená technológiou behavior piercing je pre firmy najlepším spôsobom, ako dynamicky meniť proces autentifikácie za chodu. Umožňuje maximálnu bezpečnosť, minimálne narušenie používateľského zážitku a tým aj maximálne konverzie.

Na chvíľu sa predstavte, že ste podvodník.

Žijete v Bolívii a práve ste dostali úplne nový súbor ukradnutých informácií od muža menom Gregory Adams z Texasu. Netrpezlivo overuješ jeho bankové údaje, aby si mohol previesť peniaze z Gregoryho účtu na svoj. Prihlásite sa, pridáte sa ako príjemca platby a všetko ide hladko, až kým sa neobjaví vyskakovacie okno so žiadosťou o poskytnutie odtlačku prsta a ak tak neurobíte, vyhodí vás z účtu.

Ale ako sa to stalo?

Nevideli ste, že banka mala počas celej relácie na pozadí spustený systém overovania založený na riziku. Banka zistila, že sa prihlasujete z Bolívie, čo je ďaleko od Gregoryho bežného pôsobiska. Videli, že si išiel priamo previesť peniaze, čo je pre Gregoryho nezvyčajné. Videli tvoju rýchlosť písania, tvoju kadenciu, fakt, že si bol na telefóne, ale Gregory sa vždy spolieha na svoj počítač, spolu so stovkami ďalších behaviorálnych parametrov. Videli, že jednoducho nie si Gregory.

Samozrejme, prevod nemôžete dokončiť a budete vyhodení z účtu, zatiaľ čo Gregoryho peniaze zostanú bezpečne na jeho účte.

Dnes mnoho bezpečnostných spoločností ponúka autentifikáciu na základe rizika, ale rozdiel spočíva v technológii, ktorú dodávateľ softvéru ako služby používa na určenie skóre. Je to podobné ako pri varení lasagní: ak použijete dobré ingrediencie, to, čo vyjde z rúry, bude hodné Gordona Ramsayho, ale ak použijete nekvalitné ingrediencie, mäso s krátkou trvanlivosťou, bezchutnú zeleninu zaliatu chemikáliami a navyše zabudnete na koreniny, získate kašu, na ktorú sa bude mračiť aj váš pes.

Dobré riešenie autentifikácie založené na riziku nielenže vytvorí skóre na základe inteligencie zariadenia (zariadenie, poloha a pripojenie), ale využije aj vzorce správania používateľa, atribúty zariadenia, históriu používateľa a ďalšie faktory, aby bolo skóre presné a spoľahlivé.

Existuje mnoho jemných signálov, ktoré môže vaše riešenie overovania na základe rizika monitorovať, aby presne priradilo skóre rizika používateľovi v danej relácii. Pre efektívny rámec RBA je potrebné mať vo svojom prostredí správne vrstvy a nastaviť inteligentné pravidlá na správnu identifikáciu podvodných pokusov.