擴展用例

不是所有登錄嘗試都能找出可疑人員，這就是為什么基于風險的身份驗證不應(yīng)該局限于登錄請求的原因。其它高風險交易(例如涉及轉(zhuǎn)賬的銀行用例或者變更通知)都應(yīng)該進行額外的審查。在企業(yè)設(shè)置中，與簡單地訪問電子郵箱賬戶相比，訪問敏感的銷售或者財務(wù)數(shù)據(jù)或應(yīng)用意味著更高的風險，因此，基于風險的身份驗證系統(tǒng)可以被配置為要求用戶提供額外的用戶信息。

通常對于web應(yīng)用，web設(shè)計人員只要求對高風險交易進行基于風險的身份驗證。允許攻擊者登錄系統(tǒng)和查看基礎(chǔ)數(shù)據(jù)并不是高風險威脅，但讓攻擊者取錢或者關(guān)閉服務(wù)將會給企業(yè)帶來負面影響。這種方法也只會給大多數(shù)web用戶的操作帶來最小的影響，因為他們在99%的用例中只是想查看信息。這種方式中，只有1%的網(wǎng)站交互需要多因素身份驗證。

為了更進一步擴展這個用例，通過利用設(shè)備和用戶數(shù)據(jù)(例如行為)，我們可以結(jié)合來源風險和交易風險來建立一個矩陣，以簡化身份驗證過程。設(shè)備標識數(shù)據(jù)可自動檢測新計算機是否在嘗試登陸，而網(wǎng)站上的用戶行為歷史可以表明這是否是同一個人--這具有某種程度的精確性。這是使用導航模式和計時來實現(xiàn)的。如果用戶始終使用相同的URL或者點擊路徑來進入高風險交易，這通常需要3到6秒來實現(xiàn)，那么，當攻擊者直接訪問高風險交易頁面，并只在兩秒內(nèi)完成，這種時間偏差通常表明存在異常情況以及更大的風險，企業(yè)應(yīng)該采取相應(yīng)的措施。

供應(yīng)商和部署

RSA(EMC公司的安全公司)、CA Technologies、Entrust等供應(yīng)商已經(jīng)將基于風險或者自適應(yīng)身份驗證提升到一個全新的水平，具有簡單、直觀的一體化進程。通過整合該技術(shù)到網(wǎng)站、應(yīng)用和企業(yè)使用的身份驗證套件中，該技術(shù)可以通過監(jiān)控行為和活動來為用戶創(chuàng)建資料文件。當每個用戶登錄、瀏覽網(wǎng)站、訪問企業(yè)系統(tǒng)或者請求數(shù)據(jù)時，集成的自適應(yīng)身份驗證系統(tǒng)會記錄用戶的行為，這樣，系統(tǒng)就可以將其行為和關(guān)于其會話的其他細節(jié)信息與未來會話進行比較。如果在用戶會話中，一個重要風險指標發(fā)生變化，這可以是一個線索，系統(tǒng)可以請求進一步身份驗證細節(jié)。

Gartner公司預(yù)測，到2015年，在企業(yè)對企業(yè)和企業(yè)對企業(yè)用戶身份驗證部署中，30%的部署將會加入自適應(yīng)訪問控制功能。通過結(jié)合最新的雙因素和多因素身份驗證技術(shù)與用戶和設(shè)備數(shù)據(jù)追蹤，基于風險的身份驗證技術(shù)可以幫助企業(yè)保護敏感系統(tǒng)數(shù)據(jù)，同時盡可能地確保更好的用戶體驗。