Uwierzytelnianie oparte na ryzyku, powszechnie określane również jako uwierzytelnianie adaptacyjne, to paradygmat uwierzytelniania, który próbuje dopasować wymagane dane uwierzytelniające do postrzeganego ryzyka związanego z żądanym połączeniem lub autoryzacją. Celem jest próba zmniejszenia obciążenia związanego z uwierzytelnianiem użytkowników i zapewnienie lepszego doświadczenia z jednej strony. Przy jednoczesnym wymuszeniu silnego uwierzytelniania tam, gdzie jest ono najbardziej potrzebne.
Na przykład użytkownik łączący się przez wirtualną sieć prywatną (VPN) ze swojej znanej sieci domowej. Robi to przy użyciu komputera zarządzanego przez firmę. Nie będzie musiał przedstawiać żadnych dodatkowych poświadczeń uwierzytelniających, poza tymi dostarczonymi przez jego komputer. Dzieje się tak, ponieważ żądanie połączenia nie jest postrzegane jako wysokiego ryzyka. Połączenie z nieznanego Wi-Fi w „nieparzystych” godzinach dnia wymagałoby od użytkownika dodatkowego uwierzytelnienia. Uwierzytelnianie w postaci hasła, hasła OTP lub obu, ponieważ połączenie wykazuje wskaźniki ryzyka, które podnoszą postrzegane ryzyko.
W kontekście konsumenckim użytkownik dokonujący zakupów w aplikacji sprzedawcy nie będzie musiał przedstawiać żadnych danych uwierzytelniających, podczas uzyskiwania dostępu do aplikacji lub dodawania produktów do koszyka, ponieważ te operacje stanowią niewielkie ryzyko dla sprzedawcy. Podczas realizacji transakcji użytkownik zazwyczaj musiałby przedstawić hasło lub inne dane uwierzytelniające, ponieważ jest to postrzegane jako operacja wysokiego ryzyka.
Użytkownik bankowości internetowej będzie musiał podać tylko nazwę użytkownika i hasło, aby uzyskać dostęp do swojego konta. Próbując jednak przelać środki na inne konto, musiałby odpowiedzieć na pytania kontrolne lub wprowadzić kod OTP z klucza sprzętowego OTP dostarczonego przez bank.
CO TO JEST PODNOSZENIE ZAUFANIA ZALEŻNE OD UŻYTKOWNIKA?
Podnoszenie zaufania zależne od użytkownika, lub jak określa się to przez OASIS Electronic Identity Credential Trust Elevation, to framework. Umożliwia on poleganie na stronach w celu wdrożenia jednej lub więcej metod podnoszenia zaufania. Wykonywane jest to w celu zwiększenia ich zaufania do tożsamości użytkowników, żądających dostępu do ich systemów internetowych.
CZY RBA I UWIERZYTELNIANIE KONTEKSTOWE TO TO SAMO?
RBA i uwierzytelnianie kontekstowe to pojęcia powiązane, choć nie do końca takie same. Uwierzytelnianie kontekstowe ma miejsce, gdy serwer uwierzytelniania, oprócz poświadczeń uwierzytelniania jawnego przedstawionych mu przez użytkownika, ocenia również dane kontekstowe. Można je zaobserwować, takie jak geolokalizacja, adres IP i pora dnia, w celu uzyskania pewności, że użytkownik jest poprawny. RBA to proces stosowania polityki uwierzytelniania w celu dopasowania do ryzyka postrzeganego dla danego połączenia. Ocena ryzyka polega między innymi na analizie danych kontekstowych.
JAKIE CZYNNIKI BIERZE POD UWAGĘ RBA PODCZAS UWIERZYTELNIANIA?
Czynniki analizowane przez RBA różnią się w zależności od systemu i polityki klienta. Typowe czynniki to lokalizacja geograficzna, adres IP i stan bezpieczeństwa, w tym stan aktualizacji antywirusowych. Dodatkowo wykrywanie jailbreak lub rootowania na urządzeniach mobilnych, wersja systemu operacyjnego i wykrywanie złośliwego oprogramowania. Dodatkowymi czynnikami branymi pod uwagę mogą być: wartość transakcji, informacja czy połączenie pochodzi z anonimowego serwera proxy i nie tylko.
UWIERZYTELNIANIE OPARTE NA RYZYKU – NAJLEPSZE TECHNIKI
RBA może współpracować z dowolną metodą uwierzytelniania, ale jest zwykle wdrażana w połączeniu z pewną formą silnego uwierzytelniania, taką jak hasło jednorazowe (OTP) lub hasła złożone, które są uważane za uciążliwe dla użytkowników. Korzystając z RBA, użytkownicy są zobowiązani do rzadszego przedstawiania swoich silnych poświadczeń uwierzytelniających. Zmniejsza to trudności techniczne użytkowników związane z uwierzytelnianiem i zapewnia lepszy komfort dla użytkownika
