курс цб на 17.10: USD 65.5305 EUR 75.9236
криптовалют: BIT 6453.8$ ETH 205.69$
Форум экспертов / 633 просмотра

Почему аутентификация на основе рисков необходима при двухфакторной проверке

ermakovich

Аутентификация всегда была и остается критическим местом безопасности. Однако теперь из-за распространения онлайн-сервисов добавилась проблема удобства прохождения проверки. Руководитель направления по борьбе с онлайн-мошенничеством "Лаборатории Касперского" Александр Ермакович рассказал о том, почему применение аутентификации на основе рисков должно повысить защиту пользователей и сделать проверку более удобной.

Что в основном используют сегодня для проверки пользователей онлайн-сервисов? То же, что и 20 лет назад – пароли. Данный подход изживает себя и к нему есть много серьезных претензий, главные из них — это безопасность и удобство. Пользователи пытаются облегчить себе жизнь и использовать один и тот же пароль на разных сервисах. Об этом, конечно же, знают мошенники, из-за чего подбор и проверка паролей давно поставлены на рельсы автоматизации. Кроме того, неудобный ввод символов на мобильном устройстве приводит к пониженным требованиям к паролю, что, опять же, создает проблемы безопасности.

Для решения этих задач начали применять подход двухфакторной аутентификации. Он предполагает использование трех основных факторов, отвечающих на вопросы: что я знаю, что у меня есть и что я есть. Что я знаю — это обычно пароль или ПИН, что у меня есть — токен или устройство, что я есть — это биометрия (палец, лицо, сетчатка глаза и другие более экзотические данные типа рисунок вен). Считается, что для надежной аутентификации достаточно применять два из трех факторов. Наибольшее распространение получили одноразовые пароли (ОТP) через SMS и генерируемые ОТP. Об этом подробнее читайте в отдельной статье:


Двухфакторная аутентификация для защиты финансовых сервисов: проблемы использования


При всех плюсах ОТP-подхода, у него еще остаются существенные недостатки, основные из которых — это удобство и стоимость. Для проверки конечных пользователей (consumers) чаще всего используется аутентификация с помощью SMS-сообщения. А SMS стоит денег, при чем значительных. Сейчас многие компании, использующие такой подход, ищут ему замену или способы его улучшения, чтобы сэкономить издержки.

Второй распространённый вид двухфакторной аутентификации — это использование токенов. Они по сравнению с SMS являются настоящим вторым фактором, однако их цена гораздо выше. Стоимость RSA токена составляет несколько тысяч рублей, а удобство его использования оставляет желать лучшего. В связи с этим такой подход получил распространение в основном у юридических лиц, которые готовы терпеть неудобства и тратить деньги ради безопасности.

Вместе с тем, использование OTP можно значительно улучшить, как с точки зрения удобства, так и с точки зрения снижения цены, за счет аутентификации на основе рисков (Risk Based Authentication). RBA проводит анализ поведения пользователя, его устройства и окружения с целью выявления нормальности и легитимности сессии. В итоге такого анализа:

  • легитимные пользователи обходят дополнительные факторы аутентификации, получая доступ в онлайн-кабинет без дополнительных шагов;
  • пользователи, вызывающие сомнения, проходят проверку вторым фактором;
  • действия, являющиеся наиболее подозрительными, проверяются более тщательно, при неудачном прохождении проверки пользователю может быть отказано в доступе.

RBA ликвидирует дополнительные шаги аутентификации для легитимных пользователей̆, позволяя им войти в систему дистанционного обслуживания без использования ОТP (второго фактора). Это значит, что вход становится гораздо удобнее – ведь не приходится делать дополнительных шагов. Кроме того, получается значительная экономия средств, ведь не надо слать SMS каждый раз, этот шаг становится необходим только в 20-25% случаях. Кроме того, улучшается и безопасность, ведь каждый вход и сессия анализируются — кто использует ваши сервисы в мобильном и онлайн-каналах: легитимный̆ пользователь или мошенник, реальный̆ человек или машина.

Таким образом, если онлайн сервис использует двухфакторную аутентификацию, очень рекомендуется применять подход аутентификации на основе рисков. Это не только сократит издержки, но и увеличит лояльность пользователей за счет удобства, что в свою очередь будет способствовать росту бизнеса.

По материалам PLUSworld.ru