基于风险的身份验证:定义及工作原理

日期: 2013-12-04 作者:Brad Causey翻译:邹铮 来源:TechTarget中国 英文

保护数据免受未经授权访问,同时确保获得授权的人员可以访问数据,这是IT安全专业人士的最终目标。由于简单的密码和基本的数据保护方法已经不再那么有效,所以企业可以部署多因素身份验证、生物识别、带外PIN或者是语音回拨等技术来降低风险。 但问题是大多数用户不想每次都接听电话或者输入PIN码来验证身份。对此,我们可以利用一个有趣的概念,即所谓的基于风险的身份验证,企业可以只在风险升高的时候才需要额外的身份验证步骤。

下面我们将解释基于风险的身份验证是如何工作的,有哪些典型的用例,以及它如何确保用户的身份验证过程简单顺利,同时还能降低企业风险。 基于风险的身份验证 基于风险的身份验证有时候也被称为自适应身……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

保护数据免受未经授权访问,同时确保获得授权的人员可以访问数据,这是IT安全专业人士的最终目标。由于简单的密码和基本的数据保护方法已经不再那么有效,所以企业可以部署多因素身份验证、生物识别、带外PIN或者是语音回拨等技术来降低风险。

但问题是大多数用户不想每次都接听电话或者输入PIN码来验证身份。对此,我们可以利用一个有趣的概念,即所谓的基于风险的身份验证,企业可以只在风险升高的时候才需要额外的身份验证步骤。下面我们将解释基于风险的身份验证是如何工作的,有哪些典型的用例,以及它如何确保用户的身份验证过程简单顺利,同时还能降低企业风险。

基于风险的身份验证

基于风险的身份验证有时候也被称为自适应身份验证,这种验证方式可以被描述为变量矩阵,这些变量的结合会产生一个风险信息。基于这个风险信息,在某些功能执行前,可能需要添加额外的身份验证要求。

这类功能一旦被执行,可能会带来巨大的风险。比如登录请求(无论是内部网络还是系统访问,还有web应用)、敏感数据请求或者安全信息的修改。

基于风险的身份验证的变量

在这个变量矩阵中有两组值。第一组是用户或者客户端的变量,这些变量从客户端导出,包括诸如始发IP地址、硬件标识(MAC地址、硬盘驱动器品牌和其它静态标识符)、浏览器、时间、输入用户密码需要的时间等信息。这组信息被用来确定输入账户登录信息的人是不是用户本人。

第二组值由应用开发人员定义,这些值基于某些存在问题的功能带来的潜在影响,例如让攻击者作为另一个用户登录。

风险情况

基于风险的身份验证系统旨在识别升高的身份验证风险。例如,用户使用其家中电脑每天访问一次网上银行表明风险不大,因为这是一个可预测的(每天一次登录)逻辑的做法和来源(使用家中电脑)。如果登录请求来自于其他国家的某个位置,这些变量会提示未经授权的登录尝试,系统会判断用户作为攻击者的风险提高了。在这种情况下,系统可以通过请求额外的带外信息来审查用户的登录请求,或者要求用户回答安全问题。

这是一个简单的例子,但这种方法是目前常用且高效的方法。登录时间和位置信息可能不足以检测到风险资料中的变化,因此,我们可以在这个风险矩阵中加入更多其它标识符来确定客户端变量是否已经改变,例如硬件识别、SMS短信或者从自动系统的语音通话。

请继续阅读基于风险的身份验证:应用案例及供应商

翻译

邹铮
邹铮

相关推荐