Почему аутентификация на основе рисков необходима при двухфакторной проверке
Что в основном используют сегодня для проверки пользователей онлайн-сервисов? То же, что и 20 лет назад – пароли. Данный подход изживает себя и к нему есть много серьезных претензий, главные из них - это безопасность и удобство. Пользователи пытаются облегчить себе жизнь и использовать один и тот же пароль на разных сервисах. Об этом, конечно же, знают мошенники, из-за чего подбор и проверка паролей давно поставлены на рельсы автоматизации. Кроме того, неудобный ввод символов на мобильном устройстве приводит к пониженным требованиям к паролю, что, опять же, создает проблемы безопасности.
Для решения этих задач начали применять подход двухфакторной аутентификации. Он предполагает использование трех основных факторов, отвечающих на вопросы: что я знаю, что у меня есть и что я есть. Что я знаю - это обычно пароль или ПИН, что у меня есть - токен или устройство, что я есть - это биометрия (палец, лицо, сетчатка глаза и другие более экзотические данные типа рисунок вен). Считается, что для надежной аутентификации достаточно применять два из трех факторов. Наибольшее распространение получили одноразовые пароли (ОТP) через SMS и генерируемые ОТP. Об этом подробнее читайте в отдельной статье:
Двухфакторная аутентификация для защиты финансовых сервисов: проблемы использования
При всех плюсах ОТP-подхода, у него еще остаются существенные недостатки, основные из которых - это удобство и стоимость. Для проверки конечных пользователей (consumers) чаще всего используется аутентификация с помощью SMS-сообщения. А SMS стоит денег, при чем значительных. Сейчас многие компании, использующие такой подход, ищут ему замену или способы его улучшения, чтобы сэкономить издержки.
Второй распространённый вид двухфакторной аутентификации — это использование токенов. Они по сравнению с SMS являются настоящим вторым фактором, однако их цена гораздо выше. Стоимость RSA токена составляет несколько тысяч рублей, а удобство его использования оставляет желать лучшего. В связи с этим такой подход получил распространение в основном у юридических лиц, которые готовы терпеть неудобства и тратить деньги ради безопасности.
Вместе с тем, использование OTP можно значительно улучшить, как с точки зрения удобства, так и с точки зрения снижения цены, за счет аутентификации на основе рисков (Risk Based Authentication). RBA проводит анализ поведения пользователя, его устройства и окружения с целью выявления нормальности и легитимности сессии. В итоге такого анализа:
- легитимные пользователи обходят дополнительные факторы аутентификации, получая доступ в онлайн-кабинет без дополнительных шагов;
- пользователи, вызывающие сомнения, проходят проверку вторым фактором;
- действия, являющиеся наиболее подозрительными, проверяются более тщательно, при неудачном прохождении проверки пользователю может быть отказано в доступе.
RBA ликвидирует дополнительные шаги аутентификации для легитимных пользователей̆, позволяя им войти в систему дистанционного обслуживания без использования ОТP (второго фактора). Это значит, что вход становится гораздо удобнее – ведь не приходится делать дополнительных шагов. Кроме того, получается значительная экономия средств, ведь не надо слать SMS каждый раз, этот шаг становится необходим только в 20-25% случаях. Кроме того, улучшается и безопасность, ведь каждый вход и сессия анализируются - кто использует ваши сервисы в мобильном и онлайн-каналах: легитимный̆ пользователь или мошенник, реальный̆ человек или машина.
Таким образом, если онлайн сервис использует двухфакторную аутентификацию, очень рекомендуется применять подход аутентификации на основе рисков. Это не только сократит издержки, но и увеличит лояльность пользователей за счет удобства, что в свою очередь будет способствовать росту бизнеса.
По материалам PLUSworld.ru