忘记双因素身份验证,这里有上下文感知身份验证

2021-09-24 11:46:49来源:

记住美好的旧日子,登录您最喜欢的Web服务(地理性,任何人?)是输入用户名和密码的简单吗?然后,事情更简单,更安全。

今天,赌注良好,真正已上涨,服务提供商,更不用说用户,是一个永恒的战斗,以保持数据安全。当然,攻击数据的最简单方法是使用某人的登录凭据 - 类似于走进房子的小偷,占用者有助于离开门。最近的调查结果显示,完全63%的确认数据泄露涉及利用弱/默认/盗窃密码。

分析师公司Forrester估计,80%的安全漏洞涉及特权凭证。为什么这是一个可以理解的原因 - 在入侵者获得对员工的设备的访问权限之后,他们尝试窥探网络并安装键盘记录器以获得更高的权限凭据。特权凭证提供窃取数据的范围,而不是inpidual帐户:具有特权凭据,攻击者可以转储整个数据库,绕过网络流量限制,删除日志以隐藏其活动,并更轻松地exfiltrate数据。

在过去的一年中,我们听到了大约两因素认证(2FA)一个系统,其中用户需要输入两个唯一物品以登录服务 - 他们的密码和(通常)从移动应用程序提供的随机生成的代码或通过短信。

虽然2FA肯定是安全的,但它是一个相当钝的仪器,往往会引入更多地拖入过程,而不是理想的。这就是为什么在上下文敏感身份验证时越来越多地讨论。虽然它看起来像一个复杂的术语,但上下文敏感的访问是一个简单的概念。

这个想法是使用用户访问资源的上下文来确定它是用户而不是具有损害其帐户凭据的恶意演员的信心级别。如果信心低或风险很高,则在上下文认证范式下,该服务将自动加速到其他更安全的(但也是更具破坏性的)认证方法,例如提供多因素令牌。上下文认证是有益的,因为它通过不断监视和评估在不中断用户访问的每个页面或资源的情况下进行风险,除非检测到可疑活动,除非检测到。

上下文访问是在其本质上的一种自适应身份验证的演变,其替换了使用机器学习的静态规则和黑名单的使用,以基于用户行为和上下文评估风险。实际上,许多提供商已经做了超级简单的“上下文”,例如黑名单的位置。这些方法。然而,在平衡安全性的情况下,甚至太粗糙了。

与此同时,2FA采用是硬 - 用户必须安装应用程序或使用不安全的SMS。事实上,美国政府宣布逐步淘汰基于文本的2FA。但上下文认证可以坐在背景中,并且只需完全无形地执行它的东西(除非确定更高的风险)。

我们在其他设置中看到了上下文身份验证。谷歌的信任API是私人测试版,将看到用户能够利用与手机相关的基于近距离的身份验证。但是,谷歌的方法的驱动程序同样存在于Web应用程序 - 我们已经存在了大量的上下文用户信息,为什么可以“我们只是利用它来使我们的服务,我们的客户”使用我们的服务,更轻松和更多安全的?

上文身份验证:谁应该这样做?

有两组明显的组织组织,可以是在其现有平台上层上色身份验证的理想候选人。首先是双因素认证提供商,因为上下文认证使得更智能的2Fa并涵盖比标准2FA更广泛的受众。第二个是涉及“身份 - AS-Service”(IDAAS)空间的供应商,因为它们是单点故障和访问,因此它们应该更加努力评估帐户妥协的风险。

上下文身份验证是一个时间来的想法,并且在空间中观看供应商的移动将是令人着迷的。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章