En Autenticación , la autenticación basada en riesgos es un sistema de autenticación no estático que tiene en cuenta el perfil (dirección IP, encabezado HTTP del agente de usuario, hora de acceso, etc.) del agente que solicita acceso al sistema para determinar el riesgo. perfil asociado con esa transacción. Luego, el perfil de riesgo se utiliza para determinar la complejidad del desafío. Los perfiles de mayor riesgo conllevan desafíos más fuertes, mientras que un nombre de usuario / contraseña estáticos pueden ser suficientes para perfiles de menor riesgo. La implementación basada en riesgos permite que la aplicación solicite al usuario credenciales adicionales solo cuando el nivel de riesgo es apropiado. [1] [2] [3]
La autenticación de máquina se utiliza a menudo en una configuración de autenticación basada en riesgos. La autenticación de la máquina se ejecutará en segundo plano y solo solicitará al cliente una autenticación adicional si no se reconoce la computadora. En un sistema de autenticación basado en riesgos, la institución decide si es necesaria una autenticación adicional. Si el riesgo se considera apropiado, se activará la autenticación mejorada, como una contraseña de un solo uso entregada a través de una comunicación fuera de banda. La autenticación basada en riesgos también se puede utilizar durante la sesión para solicitar una autenticación adicional cuando el cliente realiza una determinada transacción de alto riesgo, como una transferencia de dinero o un cambio de dirección. La autenticación basada en riesgos es muy beneficiosa para el cliente porque solo se requieren pasos adicionales si algo está fuera de lo común, como el intento de inicio de sesión desde una nueva máquina.
- [4]
El punto es que la precisión de la validación del usuario se mejora sin molestar al usuario [1] [5] y las principales empresas utilizan la autenticación basada en riesgos. [6]
Crítica
- El sistema que calcula el perfil de riesgo debe mantenerse y actualizarse diligentemente a medida que surgen nuevas amenazas. Una configuración incorrecta puede dar lugar a un acceso no autorizado.
- El perfil de conexión del usuario (por ejemplo , geolocalización de IP , tipo de conexión, dinámica de pulsaciones de teclas , comportamiento del usuario) debe detectarse y utilizarse para calcular el perfil de riesgo. La falta de una detección adecuada puede dar lugar a un acceso no autorizado.
Ver también
- Lista de control de acceso
- Control de acceso basado en atributos (ABAC)
- Seguridad basada en capacidad
- Control de acceso basado en contexto (CBAC)
- Control de acceso discrecional (DAC)
- Control de acceso basado en gráficos (GBAC)
- Control de acceso basado en celosía (LBAC)
- Autenticación basada en la ubicación
- Control de acceso obligatorio (MAC)
- Control de acceso basado en organización (OrBAC)
- Control de acceso basado en roles (RBAC)
- Control de acceso basado en reglas (RSBAC)
Referencias
- ^ a b Patente estadounidense 9021555 , Takaya Kato, "Patente de autenticación basada en riesgos", emitida el 29 de marzo de 2006
- ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus. "Sitio web de información sobre autenticación basada en riesgos" . Autenticación basada en riesgos . Consultado el 29 de abril de 2019 .
- ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus (2019). Dhillon, Gurpreet; Karlsson, Fredrik; Hedström, Karin; Zúquete, André (eds.). "¿Es esto realmente usted? Un estudio empírico sobre la autenticación basada en riesgo aplicada en la naturaleza" . Seguridad de los sistemas de TIC y protección de la privacidad . Avances de IFIP en tecnología de la información y la comunicación. Springer International Publishing. 562 : 134-148. arXiv : 2003.07622 . doi : 10.1007 / 978-3-030-22312-0_10 . ISBN 9783030223120.
- ^ Williamson, G. "Autenticación mejorada en la banca en línea" Revista de gestión del delito económico 4.2 (2006): 18-19. Impresión
- ^ Wiefling, Stephan; Dürmuth, Markus; Lo Iacono, Luigi (07/12/2020). "¿Más que buenas contraseñas? Un estudio sobre la usabilidad y las percepciones de seguridad de la autenticación basada en riesgos" . Conferencia anual de aplicaciones de seguridad informática . ACSAC '20. Austin, Estados Unidos: Asociación de Maquinaria de Computación: 203–218. doi : 10.1145 / 3427228.3427243 . ISBN 978-1-4503-8858-0.
- ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus. "¿Quién usa RBA? Encontramos evidencia de que Google, Facebook, LinkedIn, Amazon y GOG.com lo están usando" . Autenticación basada en riesgos . Consultado el 29 de abril de 2019 .