扩展用例
不是所有登录尝试都能找出可疑人员,这就是为什么基于风险的身份验证不应该局限于登录请求的原因。其它高风险交易(例如涉及转账的银行用例或者变更通知)都应该进行额外的审查。在企业设置中,与简单地访问电子邮箱账户相比,访问敏感的销售或者财务数据或应用意味着更高的风险,因此,基于风险的身份验证系统可以被配置为要求用户提供额外的用户信息。
通常对于web应用,web设计人员只要求对高风险交易进行基于风险的身份验证。允许攻击者登录系统和查看基础数据并不是高风险威胁,但让攻击者取钱或者关闭服务将会给企业带来负面影响。这种方法也只会给大多数web用户的操作带来最小的影响,因为他们在99%的用例中只是想查看信息。这种方式中,只有1%的网站交互需要多因素身份验证。
为了更进一步扩展这个用例,通过利用设备和用户数据(例如行为),我们可以结合来源风险和交易风险来建立一个矩阵,以简化身份验证过程。设备标识数据可自动检测新计算机是否在尝试登陆,而网站上的用户行为历史可以表明这是否是同一个人--这具有某种程度的精确性。这是使用导航模式和计时来实现的。如果用户始终使用相同的URL或者点击路径来进入高风险交易,这通常需要3到6秒来实现,那么,当攻击者直接访问高风险交易页面,并只在两秒内完成,这种时间偏差通常表明存在异常情况以及更大的风险,企业应该采取相应的措施。
供应商和部署
RSA(EMC公司的安全公司)、CA Technologies、Entrust等供应商已经将基于风险或者自适应身份验证提升到一个全新的水平,具有简单、直观的一体化进程。通过整合该技术到网站、应用和企业使用的身份验证套件中,该技术可以通过监控行为和活动来为用户创建资料文件。当每个用户登录、浏览网站、访问企业系统或者请求数据时,集成的自适应身份验证系统会记录用户的行为,这样,系统就可以将其行为和关于其会话的其他细节信息与未来会话进行比较。如果在用户会话中,一个重要风险指标发生变化,这可以是一个线索,系统可以请求进一步身份验证细节。
Gartner公司预测,到2015年,在企业对企业和企业对企业用户身份验证部署中,30%的部署将会加入自适应访问控制功能。通过结合最新的双因素和多因素身份验证技术与用户和设备数据追踪,基于风险的身份验证技术可以帮助企业保护敏感系统数据,同时尽可能地确保更好的用户体验。
