Autenticación basada en riesgos

En la autenticación , la autenticación basada en riesgos es un sistema de autenticación no estático que tiene en cuenta el perfil (dirección IP, encabezado HTTP User-Agent, hora de acceso, etc. ^[1] ) del agente que solicita acceso al sistema para determinar el perfil de riesgo asociado con esa transacción. El perfil de riesgo se utiliza luego para determinar la complejidad del desafío. Los perfiles de riesgo más altos conducen a desafíos más fuertes, mientras que un nombre de usuario/contraseña estáticos pueden ser suficientes para perfiles de riesgo más bajo. La implementación basada en riesgos permite que la aplicación solicite al usuario credenciales adicionales solo cuando el nivel de riesgo es apropiado. ^{[2] [3] [4]}

La autenticación por máquina se utiliza a menudo en una configuración de autenticación basada en riesgo. La autenticación por máquina se ejecutará en segundo plano y solo solicitará al cliente una autenticación adicional si no se reconoce la computadora. En un sistema de autenticación basada en riesgo, la institución decide si es necesaria una autenticación adicional. Si el riesgo se considera apropiado, se activará una autenticación mejorada, como una contraseña de un solo uso enviada a través de una comunicación fuera de banda. La autenticación basada en riesgo también se puede utilizar durante la sesión para solicitar una autenticación adicional cuando el cliente realiza una determinada transacción de alto riesgo, como una transferencia de dinero o un cambio de dirección. La autenticación basada en riesgo es muy beneficiosa para el cliente porque solo se requieren pasos adicionales si algo está fuera de lo normal, como el intento de inicio de sesión desde una nueva máquina.

—  ^[5]

El punto es que la precisión de la validación del usuario se mejora sin incomodar al usuario ^{[2] [6]} y la autenticación basada en riesgos es utilizada por las principales empresas ^{[7] .}

Crítica

• El sistema que calcula el perfil de riesgo debe mantenerse y actualizarse con diligencia a medida que surgen nuevas amenazas. Una configuración incorrecta puede dar lugar a un acceso no autorizado. ^[8]
• El perfil de conexión del usuario (por ejemplo, geolocalización de IP , tipo de conexión, dinámica de pulsaciones de teclas , comportamiento del usuario) debe detectarse y utilizarse para calcular el perfil de riesgo. La falta de una detección adecuada puede dar lugar a un acceso no autorizado.

Véase también

• Lista de control de acceso
• Control de acceso basado en atributos (ABAC)
• Seguridad basada en capacidades
• Control de acceso basado en contexto (CBAC)
• Control de acceso discrecional (DAC)
• Control de acceso basado en gráficos (GBAC)
• Control de acceso basado en red (LBAC)
• Control de acceso obligatorio (MAC)
• Control de acceso basado en la organización (OrBAC)
• Control de acceso basado en roles (RBAC)
• Control de acceso basado en reglas (RSBAC)

Referencias

1. Wiefling, Stephan; Dürmuth, Markus; Lo Iacono, Luigi (26 de enero de 2021). "Qué es lo que los usuarios de sitios web valoran: un estudio a largo plazo basado en datos sobre las características de autenticación basadas en riesgos" (PDF) . Criptografía financiera y seguridad de datos . FC '21. Vol. 12675. págs. 361–381. arXiv : 2101.10681 . doi :10.1007/978-3-662-64331-0_19. ISBN 978-3-662-64330-3. Número de identificación del sujeto  231709486.
2. Patente estadounidense 9021555, Takaya Kato, "Patente de autenticación basada en riesgos", emitida el 29 de marzo de 2006 
3. Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus. «Sitio web de información sobre autenticación basada en riesgos». Autenticación basada en riesgos . Consultado el 29 de abril de 2019 .
4. Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus (2019). "¿Realmente eres tú? Un estudio empírico sobre la autenticación basada en riesgos aplicada en la vida real". En Dhillon, Gurpreet; Karlsson, Fredrik; Hedström, Karin; Zúquete, André (eds.). Seguridad de los sistemas de TIC y protección de la privacidad . IFIP Avances en tecnología de la información y la comunicación. Vol. 562. Springer International Publishing. págs. 134–148. arXiv : 2003.07622 . doi :10.1007/978-3-030-22312-0_10. ISBN . 9783030223120.S2CID 189926752  .
5. Williamson, G. (2006). "Autenticación mejorada en la banca en línea" (PDF) . Journal of Economic Crime Management . 4 (2): 18–19.
6. Wiefling, Stephan; Dürmuth, Markus; Lo Iacono, Luigi (7 de diciembre de 2020). "¿Más que buenas contraseñas? Un estudio sobre la usabilidad y las percepciones de seguridad de la autenticación basada en riesgos". Conferencia anual sobre aplicaciones de seguridad informática . ACSAC '20. Austin, EE. UU.: Association for Computing Machinery. págs. 203–218. arXiv : 2010.00339 . doi : 10.1145/3427228.3427243 . ISBN . 978-1-4503-8858-0.
7. Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus. "¿Quién utiliza RBA? Encontramos evidencia de que Google, Facebook, LinkedIn, Amazon y GOG.com lo están utilizando". Autenticación basada en riesgos . Consultado el 29 de abril de 2019 .
8. Borky, John M.; Bradley, Thomas H. (2019). "Protección de la información con ciberseguridad". En Borky, John M.; Bradley, Thomas H. (eds.). Ingeniería de sistemas basada en modelos eficaz. Cham: Springer International Publishing. págs. 345–404. doi :10.1007/978-3-319-95669-5_10. ISBN 978-3-319-95669-5. PMC  7122347 . Consultado el 28 de agosto de 2023 .

• Patente estadounidense 20.050.097.320