保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)訪問(wèn)，同時(shí)確保獲得授權(quán)的人員可以訪問(wèn)數(shù)據(jù)，這是IT安全專業(yè)人士的最終目標(biāo)。由于簡(jiǎn)單的密碼和基本的數(shù)據(jù)保護(hù)方法已經(jīng)不再那么有效，所以企業(yè)可以部署多因素身份驗(yàn)證、生物識(shí)別、帶外PIN或者是語(yǔ)音回?fù)艿燃夹g(shù)來(lái)降低風(fēng)險(xiǎn)。

但問(wèn)題是大多數(shù)用戶不想每次都接聽(tīng)電話或者輸入PIN碼來(lái)驗(yàn)證身份。對(duì)此，我們可以利用一個(gè)有趣的概念，即所謂的基于風(fēng)險(xiǎn)的身份驗(yàn)證，企業(yè)可以只在風(fēng)險(xiǎn)升高的時(shí)候才需要額外的身份驗(yàn)證步驟。下面我們將解釋基于風(fēng)險(xiǎn)的身份驗(yàn)證是如何工作的，有哪些典型的用例，以及它如何確保用戶的身份驗(yàn)證過(guò)程簡(jiǎn)單順利，同時(shí)還能降低企業(yè)風(fēng)險(xiǎn)。

基于風(fēng)險(xiǎn)的身份驗(yàn)證

基于風(fēng)險(xiǎn)的身份驗(yàn)證有時(shí)候也被稱為自適應(yīng)身份驗(yàn)證，這種驗(yàn)證方式可以被描述為變量矩陣，這些變量的結(jié)合會(huì)產(chǎn)生一個(gè)風(fēng)險(xiǎn)信息?；谶@個(gè)風(fēng)險(xiǎn)信息，在某些功能執(zhí)行前，可能需要添加額外的身份驗(yàn)證要求。

這類(lèi)功能一旦被執(zhí)行，可能會(huì)帶來(lái)巨大的風(fēng)險(xiǎn)。比如登錄請(qǐng)求(無(wú)論是內(nèi)部網(wǎng)絡(luò)還是系統(tǒng)訪問(wèn)，還有web應(yīng)用)、敏感數(shù)據(jù)請(qǐng)求或者安全信息的修改。

基于風(fēng)險(xiǎn)的身份驗(yàn)證的變量

在這個(gè)變量矩陣中有兩組值。第一組是用戶或者客戶端的變量，這些變量從客戶端導(dǎo)出，包括諸如始發(fā)IP地址、硬件標(biāo)識(shí)(MAC地址、硬盤(pán)驅(qū)動(dòng)器品牌和其它靜態(tài)標(biāo)識(shí)符)、瀏覽器、時(shí)間、輸入用戶密碼需要的時(shí)間等信息。這組信息被用來(lái)確定輸入賬戶登錄信息的人是不是用戶本人。

第二組值由應(yīng)用開(kāi)發(fā)人員定義，這些值基于某些存在問(wèn)題的功能帶來(lái)的潛在影響，例如讓攻擊者作為另一個(gè)用戶登錄。

風(fēng)險(xiǎn)情況

基于風(fēng)險(xiǎn)的身份驗(yàn)證系統(tǒng)旨在識(shí)別升高的身份驗(yàn)證風(fēng)險(xiǎn)。例如，用戶使用其家中電腦每天訪問(wèn)一次網(wǎng)上銀行表明風(fēng)險(xiǎn)不大，因?yàn)檫@是一個(gè)可預(yù)測(cè)的(每天一次登錄)邏輯的做法和來(lái)源(使用家中電腦)。如果登錄請(qǐng)求來(lái)自于其他國(guó)家的某個(gè)位置，這些變量會(huì)提示未經(jīng)授權(quán)的登錄嘗試，系統(tǒng)會(huì)判斷用戶作為攻擊者的風(fēng)險(xiǎn)提高了。在這種情況下，系統(tǒng)可以通過(guò)請(qǐng)求額外的帶外信息來(lái)審查用戶的登錄請(qǐng)求，或者要求用戶回答安全問(wèn)題。

這是一個(gè)簡(jiǎn)單的例子，但這種方法是目前常用且高效的方法。登錄時(shí)間和位置信息可能不足以檢測(cè)到風(fēng)險(xiǎn)資料中的變化，因此，我們可以在這個(gè)風(fēng)險(xiǎn)矩陣中加入更多其它標(biāo)識(shí)符來(lái)確定客戶端變量是否已經(jīng)改變，例如硬件識(shí)別、SMS短信或者從自動(dòng)系統(tǒng)的語(yǔ)音通話。