隨著公司不再只依賴密碼保護的情況逐漸普及，基于風險的身份驗證工具變得更加復雜和流行。

基于風險的身份驗證(RBA)也稱為自適應身份驗證，是一種在不強制用戶使用兩因素身份驗證(2FA)的情況下提高網(wǎng)站賬戶安全性的方法。隨著網(wǎng)絡釣魚和帳戶接管肆虐盛行的背景下，這項技術變得越來越重要。

什么是基于風險的身份驗證?

RBA就是檢查"信號"，當用戶登錄或客戶在線購買商品時，這些供應商也近乎實時地進行各種觀察，并創(chuàng)建請求訪問系統(tǒng)的個人或設備的風險配置文件。該配置文件基于因素或信號，包括IP地理位置、用戶行為、擊鍵模式和連接類型。這些因素可能會根據(jù)具體的威脅因素而變化，這可能需要對風險狀況進行持續(xù)管理。

不斷變化的基于風險的認證市場

自2013年益博睿收購41st Parameter以來，身份認證領域發(fā)生了多起并購事件：

• Equifax收購Kount
• Lexis/Nexis Risk Solutions收購ThreatMetrix
• Transunion收購Iovation
• Quest Software收購OneLogin(現(xiàn)在擁有OneIdentity)
• Vasco更名為OneSpan
• RSA 將 Fraud Manager 拆分為 Outseer
• Easy Solutions現(xiàn)在是Appgate的一部分
• Ping Identity收購SecureTouch

在所有這些活動的背后，RBA主要市場已經(jīng)分裂成兩個半：交易/欺詐預防和企業(yè)身份驗證。這個"半"可以被認為是一些供應商正在使用的無密碼認證類型。雖然最后一個用例不是完全自適應/遞增身份驗證，但組合一系列身份驗證因素的概念有助于推動 RBA 的全面采用。

這些并購表明RBA從一種不穩(wěn)定的信息安全技術發(fā)展成為主流，演變迅猛。

推動采用RBA的身份驗證趨勢

(1) 多因素身份驗證成為常態(tài)

Google去年10月在其自己的帳戶中強制實施了多因素身份驗證(MFA)，并且已經(jīng)迅速普及，因此網(wǎng)絡釣魚和帳戶入侵也同樣迅速減少。這一舉措也有助于推動更高的RBA采用率，因為在使用RBA之前， MFA防護措施需要到位。另外兩項獲得更多關注的核心技術包括更多地采用FIDOv2和OpenID Connect標準。這兩種技術發(fā)展較為成熟，現(xiàn)在為大多數(shù)人所接受，并在所有五個端點操作系統(tǒng)(Windows，MacOS，Linux，Android和iOS)中得到很好的應用。

(2) 對使用生物識別數(shù)據(jù)的擔憂

由于歐盟的GDPR及其他相關法案，人們對安全工具如何利用生物識別數(shù)據(jù)，存儲這些數(shù)據(jù)的位置以及它如何橫跨身份驗證基礎設施越來越敏感。最近美國國稅局使用面部識別軟件就是一個反面案例。因此，擁有RBA可以幫助控制安全設備更安全地使用這些生物識別因素。

(3) 威脅變得越來越復雜

RBA將繼續(xù)在應對最新的復雜威脅方面發(fā)揮作用，其中一個例子是分期付款的日益普及。

(4) EMV 3-D Secure的采用率提高

支付供應商繼續(xù)開發(fā)EMV 3-D Secure(3DS)標準，該標準結合了RBA技術來打擊交易欺詐。一些RBA供應商已開始將此標準納入其工具集。支付和信貸供應商，包括萬事達卡的NuData安全業(yè)務，已經(jīng)升級了安全系統(tǒng)，他們將現(xiàn)在可以訪問的數(shù)十億筆交易的龐大語料庫用作欺詐的早期預警，以應對安全風險。NuData的合作伙伴包括Thales和Entersekt。

基于風險的認證產(chǎn)品

目前，提供RBA的廠商產(chǎn)品包含Appgate RBA、思科/Duo安全、Entersekt 認證、iProov、Lexis/Nexis、Okta(提供自己的Auth0產(chǎn)品線)、OneLogin 、OneSpan智能自適應身份驗證、Outseer欺詐經(jīng)理、PingID(提供一系列產(chǎn)品)、Silverfort、泰雷茲安全網(wǎng)可信接入等。

該領域的其他供應商，還包括Iovation，Kount，IBM Security的Verity Access，HID的全球風險管理，SecureAuth和Transmission Security。

(1) RBA定價

大多數(shù)RBA供應商對定價都很保守。一般有兩種定價方法：一種方案用于事務性或欺詐檢測業(yè)務，另一種方案用于有時稱為勞動力的業(yè)務，即傳統(tǒng)的每最終用戶身份驗證業(yè)務。

有三個值得注意的供應商值得關注：Duo，Ping和Okta。Duo擁有最佳定價頁面，以清晰和翔實的方式列出了各種定價層和每個定價層中可用的功能。Ping公開了其定價，Okta為其Okta和Auth0業(yè)務部門提供了定價頁面。許多供應商免費提供試用他們核心產(chǎn)品的服務，有些供應商(如Duo和Auth0)擁有永久免費計劃，但產(chǎn)品功能有限，不包括任何RBA支持。

(2) AppgateRBA

Appgate于2021年10月從Easy Solutions購買了RBA軟件系列，并增加了先進的行為生物識別技術，帶來了近乎實時的決策和更完整的API。該產(chǎn)品在需要時臨時將生物識別信息存儲在Appgate服務器上，以驗證用戶的登錄名，但隨后刪除數(shù)據(jù)。

Appgate增加了RBA的驗證能力，以增強舊的Easy Solutions交易RBA。雖然Appgate現(xiàn)在是FIDO成員，但它尚未添加支持。該公司有交易定價，并表示，一個每年約有600萬次登錄的中型組織將支付10000美元的固定費用，并對額外交易收取附加費。他們沒有自己的身份提供商，但可以通過SAML和Radius連接支持Active Directory，Google，Salesforce，SugarCRM等。

(3) 思科/Duo安全

自從幾年前被思科收購以來，Duo一直在不斷增強其身份驗證產(chǎn)品，并擁有功能齊全的身份驗證工具集合。有些產(chǎn)品能進入其訪問層，但或許進入完整集的Beyond計劃級更具有價值。

雖然Duo的身份驗證功能范圍是具有細粒度且深入的，但管理RBA流程和策略比較復雜。例如，您可以跟蹤用戶位置、設備硬件指紋、行為因素、正在運行的應用等，但是，從這些不同的信號中制作最佳操作可能需要一些努力。任何生物識別數(shù)據(jù)都經(jīng)過加密并存儲在端點安全的安全區(qū)中。

Duo支持各種身份提供商，包括Okta，Google和Active Directory。它還支持FIDOv2標準和設備，它還是OpenID共享信號工作組的關鍵參與者。正如我之前提到的，Duo的定價是透明和有價值的，這應該成為那些仍然隱藏其費用結構的供應商學習的榜樣。該公司每月處理數(shù)十億筆交易。

(4) Entersekt 認證

Entersekt總部位于南非開普敦，在過去十年中一直主要提供金融服務交易安全。它最近擴展到個體用戶的身份驗證市場。Entersekt沒有自己的身份提供商，但通過SAML和OAuth支持。它與端點安全硬件安全區(qū)配合使用，以存儲私有加密密鑰并檢測手機上安裝的越獄和有害應用程序。

Entersekt 對風險信號(包括位置、指紋硬件和 NuData Security事務語料庫)進行評分，為每筆交易構建風險配置文件。它支持 FIDO 設備和標準。Entersekt提供交易和單個用戶定價。

(5) iProov

iProov是另一家擁有十年歷史的安全供應商，為開發(fā)人員提供SDK，而不是交鑰匙應用程序套件。其網(wǎng)絡每天處理數(shù)十萬筆交易。iProov不會存儲私人數(shù)據(jù)，除非會短暫檢查用戶的初始登錄數(shù)據(jù)?？蛻艨梢栽O定此臨時數(shù)據(jù)存儲的范圍，從12小時到一個月。

iProov支持身份提供程序，包括 ID.me，Ping Identity和 Jumio.com。它提供交易和單個用戶定價。iProov參與了倫敦圣潘克拉斯火車站的一項有趣的試驗，乘客只需要掃描他們的臉就可以登上歐洲之星列車。

(6) Lexis/Nexis

該公司于2018年收購了ThreatMetrix，此后建立了一個復雜的RBA業(yè)務，提供一系列移動SDK和基于Java的工具，現(xiàn)在幾乎每家大型銀行和大多數(shù)主要保險公司都可以找到這些工具。Lexis/Nexis 使用其大型語料庫(該公司在超過85億臺設備上，每小時處理超過2.7億筆交易)來檢測交易欺詐并提供身份驗證信號。

它提供三種不同級別的端點識別：基于 Cookie 的 ExactID、基于 Java 的 SmartID 和使用存儲在手機或桌面安全區(qū)中的私鑰加密簽名的 StrongID 系統(tǒng)。它支持最新的 EMV 3DS 協(xié)議。Lexis/Nexis提供交易定價。

(7) Okta

Okta提供兩條產(chǎn)品線。首先是Auth0的自適應MFA。Auth0 具有完善的風險信號集合，包括"不可能的旅行"(從相距較遠的位置連續(xù)發(fā)生多次登錄)、已知的錯誤 IP 地址、爬蟲程序檢測以及通過其單獨的攻擊保護和憑據(jù)保護服務(適用于企業(yè)計劃)進行的密碼泄露檢測。定價是透明的，有一個永久免費體驗計劃，其他計劃起價為每月23美元(不是基于每個用戶，而是每筆交易)。任何 RBA/MFA 功能僅在企業(yè)計劃中可用，但需支付額外費用。

Okta 自己的產(chǎn)品線包括其 MFA 工具和 7000 種不同產(chǎn)品的大量身份驗證策略，以及針對不同編程語言和框架的大量 API 參考。Okta的風險生態(tài)系統(tǒng)API通過從新的第三方解決方案(包括機器人檢測和Web應用程序防火墻提供商Fastly，HUMAN，F(xiàn)5 Networks和PerimeterX)引入外部風險信號來增強其內(nèi)置的風險評分系統(tǒng)。Okta的FastPass無密碼產(chǎn)品可與其單點登錄產(chǎn)品配合使用。

該公司還有一個透明的定價頁面，提供個體用戶服務計劃，RBA起價為每個用戶每個月5美元。自適應 MFA 每個用戶每個月需要6美元，還有其他額外的成本功能。對于企業(yè)級計劃，單獨的交易定價方案起價為36000美元/年。

(8) OneLoginby One Identity/Quest

OneLogin現(xiàn)在是One Identity解決方案的訪問管理組件，其范圍包括特權訪問和Active Directory連接器。OneLogin RBA 功能由其 Vigilance AI 動態(tài)風險引擎提供，該引擎對每次身份驗證嘗試進行評分，并分配適當?shù)牟僮骱偷卿浟鞒?。該產(chǎn)品還提供動態(tài)智能因素身份驗證，并檢查憑據(jù)是否被盜用，以防止用戶重復使用密碼或之前的違規(guī)行為。

OneLogin 不存儲任何生物識別數(shù)據(jù)，并支持設備上的硬件指紋識別。FIDO2/WebAuthn 標準作為附加 MFA(包括使用 Yubico 密鑰、FaceID 和 Windows Hello)支持，并存儲在安全端點安全區(qū)中。OneLogin可以同步自己的IDP以及Google Workspace，AD，Azure AD，LDAP等。工作場所用戶的定價范圍從每個用戶每月2美元到6美元不等，還提供其欺詐/交易產(chǎn)品線的交易定價。

(9) OneSpan智能自適應身份驗證

OneSpan 產(chǎn)品多年來一直提供 RBA 解決方案，現(xiàn)在同時支持用戶身份驗證和交易市場。它自己的Cronto硬件令牌為交易提供加密通道，是早期的FIDO采用者，它結合了用戶行為方法。OneSpan還具有集成的電子簽名和自己的政府身份驗證應用程序。它涵蓋了各種 MFA 方法和令牌外形規(guī)格，并為 SSO 和 RBA 提供了大量預配置的規(guī)則和策略。

用戶可以在其演示"My Bank"在線應用程序中查看產(chǎn)品的工作原理。OneSpan沒有透露定價。

(10) Outseer欺詐經(jīng)理

Outseer是 RSA 傳統(tǒng)欺詐分析業(yè)務部門的存儲庫，該部門主要面向金融機構。(RSA 的 SecurID 部門有自己的類似RBA技術的產(chǎn)品。它有本地或基于云的版本，可以從其他行為和基于位置的第三方信息獲取信號。其中一個新模塊可以保護分期付款"先買后付"交易中的欺詐行為，而另一個模塊支持最新的EMV 3DS標準。該供應商還提供欺詐行動情報服務。

(11) PingID PingOne

PingOne 是系列的身份驗證產(chǎn)品，可用于各種配置，以支持 RBA 進行工作流身份驗證和事務處理。該公司去年收購了SecureTouch，現(xiàn)在將該產(chǎn)品稱為PingOne Fraud，該產(chǎn)品著眼于行為分析，并識別受損設備和其他可疑信號。Ping 以其廣泛的SSO工具收集1800多種不同的SAML集成而聞名。作為其產(chǎn)品一部分的其他工具包括：

• PingOne Risk是其評估這些不同信號的風險管理引擎，PingOne Verify是其自己的ID驗證工具。
• PingOne 授權是其主要的 RBA 工具，用戶可以在其中設置身份驗證規(guī)則和策略。
• PingOne DaVinci是其最新添加的標識編排工具，可用于使用類似 Visio 的流程圖創(chuàng)建自動化例程。這個工具較為好用，因為使用聯(lián)鎖規(guī)則集和策略設置風險升級方案可能很難調(diào)試。

PingID提供所有組件30天免費試用。

(12) Silverfort

Silverfort采用不同的RBA技術方法，依托現(xiàn)有的身份提供商，如Ping，Okta和Azure AD。它具有全面的風險引擎功能，可以檢測包括行為變化和外部風險指示器(例如來自網(wǎng)絡安全管理工具)的信號。它不使用任何軟件代理或代理來排除潛在的威脅和身份驗證問題，如果用戶擔心基于物聯(lián)網(wǎng)的危害或無法輕松監(jiān)控或保護的網(wǎng)絡設備，這可能很有用。例如，為任何端點設備提供 FIDO2 支持。Silverfort具有基于用戶的定價。

(13) 泰雷茲安全網(wǎng)可信接入

泰雷茲為RBA提供了兩個業(yè)務部門：其Safenet Trusted Access負責處理RBA的個體用戶，其Gemalto部門專注于銀行和交易RBA。安全網(wǎng)產(chǎn)品已經(jīng)存在多年，并已發(fā)展成為用于用戶、操作系統(tǒng)和應用程序組合的復雜規(guī)則和策略集合。它涵蓋了各種MFA方法和令牌外形規(guī)格，并提供SSO和RBA。它是FIDO的早期部署，并通過SAML支持自己的身份提供商和其他提供商。泰雷茲與NuData Security合作，提供交易智能。安全網(wǎng)的基本價格是每個用戶每月3.5美元，其中包括所有MFA和RBA選項以及各種訪問管理功能。

參考來源：https://www.csoonline.com/article/3651354/12-risk-based-authentication-tools-compared.html?page=2?