保護數(shù)據(jù)免受未經(jīng)授權訪問，同時確保獲得授權的人員可以訪問數(shù)據(jù)，這是IT安全專業(yè)人士的最終目標。由于簡單的密碼和基本的數(shù)據(jù)保護方法已經(jīng)不再那么有效，所以企業(yè)可以部署多因素身份驗證、生物識別、帶外PIN或者是語音回撥等技術來降低風險。

但問題是大多數(shù)用戶不想每次都接聽電話或者輸入PIN碼來驗證身份。對此，我們可以利用一個有趣的概念，即所謂的基于風險的身份驗證，企業(yè)可以只在風險升高的時候才需要額外的身份驗證步驟。下面我們將解釋基于風險的身份驗證是如何工作的，有哪些典型的用例，以及它如何確保用戶的身份驗證過程簡單順利，同時還能降低企業(yè)風險。

基于風險的身份驗證

基于風險的身份驗證有時候也被稱為自適應身份驗證，這種驗證方式可以被描述為變量矩陣，這些變量的結(jié)合會產(chǎn)生一個風險信息。基于這個風險信息，在某些功能執(zhí)行前，可能需要添加額外的身份驗證要求。

這類功能一旦被執(zhí)行，可能會帶來巨大的風險。比如登錄請求(無論是內(nèi)部網(wǎng)絡還是系統(tǒng)訪問，還有web應用)、敏感數(shù)據(jù)請求或者安全信息的修改。

基于風險的身份驗證的變量

在這個變量矩陣中有兩組值。第一組是用戶或者客戶端的變量，這些變量從客戶端導出，包括諸如始發(fā)IP地址、硬件標識(MAC地址、硬盤驅(qū)動器品牌和其它靜態(tài)標識符)、瀏覽器、時間、輸入用戶密碼需要的時間等信息。這組信息被用來確定輸入賬戶登錄信息的人是不是用戶本人。

第二組值由應用開發(fā)人員定義，這些值基于某些存在問題的功能帶來的潛在影響，例如讓攻擊者作為另一個用戶登錄。

風險情況

基于風險的身份驗證系統(tǒng)旨在識別升高的身份驗證風險。例如，用戶使用其家中電腦每天訪問一次網(wǎng)上銀行表明風險不大，因為這是一個可預測的(每天一次登錄)邏輯的做法和來源(使用家中電腦)。如果登錄請求來自于其他國家的某個位置，這些變量會提示未經(jīng)授權的登錄嘗試，系統(tǒng)會判斷用戶作為攻擊者的風險提高了。在這種情況下，系統(tǒng)可以通過請求額外的帶外信息來審查用戶的登錄請求，或者要求用戶回答安全問題。

這是一個簡單的例子，但這種方法是目前常用且高效的方法。登錄時間和位置信息可能不足以檢測到風險資料中的變化，因此，我們可以在這個風險矩陣中加入更多其它標識符來確定客戶端變量是否已經(jīng)改變，例如硬件識別、SMS短信或者從自動系統(tǒng)的語音通話。