stringtranslate.com

Autenticación basada en riesgos

En la autenticación , la autenticación basada en riesgos es un sistema de autenticación no estático que tiene en cuenta el perfil (dirección IP, encabezado HTTP User-Agent, hora de acceso, etc. [1] ) del agente que solicita acceso al sistema para determinar el perfil de riesgo asociado con esa transacción. El perfil de riesgo se utiliza luego para determinar la complejidad del desafío. Los perfiles de riesgo más altos conducen a desafíos más fuertes, mientras que un nombre de usuario/contraseña estáticos pueden ser suficientes para perfiles de riesgo más bajo. La implementación basada en riesgos permite que la aplicación solicite al usuario credenciales adicionales solo cuando el nivel de riesgo es apropiado. [2] [3] [4]

La autenticación por máquina se utiliza a menudo en una configuración de autenticación basada en riesgo. La autenticación por máquina se ejecutará en segundo plano y solo solicitará al cliente una autenticación adicional si no se reconoce la computadora. En un sistema de autenticación basada en riesgo, la institución decide si es necesaria una autenticación adicional. Si el riesgo se considera apropiado, se activará una autenticación mejorada, como una contraseña de un solo uso enviada a través de una comunicación fuera de banda. La autenticación basada en riesgo también se puede utilizar durante la sesión para solicitar una autenticación adicional cuando el cliente realiza una determinada transacción de alto riesgo, como una transferencia de dinero o un cambio de dirección. La autenticación basada en riesgo es muy beneficiosa para el cliente porque solo se requieren pasos adicionales si algo está fuera de lo normal, como el intento de inicio de sesión desde una nueva máquina.

—  [5]

El punto es que la precisión de la validación del usuario se mejora sin incomodar al usuario [2] [6] y la autenticación basada en riesgos es utilizada por las principales empresas [7] .

Crítica

Véase también

Referencias

  1. ^ Wiefling, Stephan; Dürmuth, Markus; Lo Iacono, Luigi (26 de enero de 2021). "Qué es lo que los usuarios de sitios web valoran: un estudio a largo plazo basado en datos sobre las características de autenticación basadas en riesgos" (PDF) . Criptografía financiera y seguridad de datos . FC '21. Vol. 12675. págs. 361–381. arXiv : 2101.10681 . doi :10.1007/978-3-662-64331-0_19. ISBN 978-3-662-64330-3. Número de identificación del sujeto  231709486.
  2. ^ ab Patente estadounidense 9021555, Takaya Kato, "Patente de autenticación basada en riesgos", emitida el 29 de marzo de 2006 
  3. ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus. «Sitio web de información sobre autenticación basada en riesgos». Autenticación basada en riesgos . Consultado el 29 de abril de 2019 .
  4. ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus (2019). "¿Realmente eres tú? Un estudio empírico sobre la autenticación basada en riesgos aplicada en la vida real". En Dhillon, Gurpreet; Karlsson, Fredrik; Hedström, Karin; Zúquete, André (eds.). Seguridad de los sistemas de TIC y protección de la privacidad . IFIP Avances en tecnología de la información y la comunicación. Vol. 562. Springer International Publishing. págs. 134–148. arXiv : 2003.07622 . doi :10.1007/978-3-030-22312-0_10. ISBN . 9783030223120.S2CID189926752  .​
  5. ^ Williamson, G. (2006). "Autenticación mejorada en la banca en línea" (PDF) . Journal of Economic Crime Management . 4 (2): 18–19.
  6. ^ Wiefling, Stephan; Dürmuth, Markus; Lo Iacono, Luigi (7 de diciembre de 2020). "¿Más que buenas contraseñas? Un estudio sobre la usabilidad y las percepciones de seguridad de la autenticación basada en riesgos". Conferencia anual sobre aplicaciones de seguridad informática . ACSAC '20. Austin, EE. UU.: Association for Computing Machinery. págs. 203–218. arXiv : 2010.00339 . doi : 10.1145/3427228.3427243 . ISBN . 978-1-4503-8858-0.
  7. ^ Wiefling, Stephan; Lo Iacono, Luigi; Dürmuth, Markus. "¿Quién utiliza RBA? Encontramos evidencia de que Google, Facebook, LinkedIn, Amazon y GOG.com lo están utilizando". Autenticación basada en riesgos . Consultado el 29 de abril de 2019 .
  8. ^ Borky, John M.; Bradley, Thomas H. (2019). "Protección de la información con ciberseguridad". En Borky, John M.; Bradley, Thomas H. (eds.). Ingeniería de sistemas basada en modelos eficaz. Cham: Springer International Publishing. págs. 345–404. doi :10.1007/978-3-319-95669-5_10. ISBN 978-3-319-95669-5. PMC  7122347 . Consultado el 28 de agosto de 2023 .