基于风险的身份验证：定义及工作原理

保护数据免受未经授权访问，同时确保获得授权的人员可以访问数据，这是IT安全专业人士的最终目标。由于简单的密码和基本的数据保护方法已经不再那么有效，所以企业可以部署多因素身份验证、生物识别、带外PIN或者是语音回拨等技术来降低风险。

创新互联专业为企业提供白银网站建设、白银做网站、白银网站设计、白银网站制作等企业网站建设、网页设计与制作、白银企业网站模板建站服务，十年白银做网站经验，不只是建网站，更提供有价值的思路和整体网络服务。

但问题是大多数用户不想每次都接听电话或者输入PIN码来验证身份。对此，我们可以利用一个有趣的概念，即所谓的基于风险的身份验证，企业可以只在风险升高的时候才需要额外的身份验证步骤。下面我们将解释基于风险的身份验证是如何工作的，有哪些典型的用例，以及它如何确保用户的身份验证过程简单顺利，同时还能降低企业风险。

基于风险的身份验证

基于风险的身份验证有时候也被称为自适应身份验证，这种验证方式可以被描述为变量矩阵，这些变量的结合会产生一个风险信息。基于这个风险信息，在某些功能执行前，可能需要添加额外的身份验证要求。

这类功能一旦被执行，可能会带来巨大的风险。比如登录请求(无论是内部网络还是系统访问，还有web应用)、敏感数据请求或者安全信息的修改。

基于风险的身份验证的变量

在这个变量矩阵中有两组值。第一组是用户或者客户端的变量，这些变量从客户端导出，包括诸如始发IP地址、硬件标识(MAC地址、硬盘驱动器品牌和其它静态标识符)、浏览器、时间、输入用户密码需要的时间等信息。这组信息被用来确定输入账户登录信息的人是不是用户本人。

第二组值由应用开发人员定义，这些值基于某些存在问题的功能带来的潜在影响，例如让攻击者作为另一个用户登录。

风险情况

基于风险的身份验证系统旨在识别升高的身份验证风险。例如，用户使用其家中电脑每天访问一次网上银行表明风险不大，因为这是一个可预测的(每天一次登录)逻辑的做法和来源(使用家中电脑)。如果登录请求来自于其他国家的某个位置，这些变量会提示未经授权的登录尝试，系统会判断用户作为攻击者的风险提高了。在这种情况下，系统可以通过请求额外的带外信息来审查用户的登录请求，或者要求用户回答安全问题。

这是一个简单的例子，但这种方法是目前常用且高效的方法。登录时间和位置信息可能不足以检测到风险资料中的变化，因此，我们可以在这个风险矩阵中加入更多其它标识符来确定客户端变量是否已经改变，例如硬件识别、SMS短信或者从自动系统的语音通话。

名称栏目：基于风险的身份验证：定义及工作原理
标题网址：http://www.shufengxianlan.com/qtweb/news29/519279.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联