有時候感覺身份驗證更像是一種平衡行為。一方面,確保您的數字體驗是當務之急。維繫客戶對您服務的信任通常是與您的?品牌保持長期合作的關鍵。另一方面,在數字化轉型的時代,客戶也希望有一個簡單的,易於操控的數字體驗。
安全性和使用者體驗常常相互矛盾。額外的安全性意味著在客戶的數字化之旅中會有附加的障礙。比如在雙因素身份驗證(2FA)中,簡訊驗證碼等因素,很可能會使使用者有不好的體驗。
基於風險的身份驗證
一種有助於解決這些問題的策略是基於風險的身份驗證(RBA)。此方法涉及根據風險指數建立不同級別的身份驗證,還可以根據為每個使用者或活動找到的風險因素構建。在這些場景中,組織會尋找表現出異常行為的使用者。可能他們使用的裝置與正常情況不同,或者從不同的位置登入了賬戶。這類情況下,將“提高”他們的身份驗證要求,迫使其風險最大的使用者執行多因素身份驗證(MFA)的附加步驟。然後,其餘的低風險使用者只需要完成基本的身份驗證步驟。
基於風險的身份驗證被認為是對替代方案的改進,無需強制所有使用者完成多因素身份驗證,或者沒有使用者完成多因素身份驗證。對於許多組織來說,高風險使用者只佔其使用者總數的不到1\%,因此有可能在MFA方面節省大量的運營成本。
但是,RBA戰略仍然面臨挑戰。專業的攻擊者可能會以低風險使用者的身份出現,也許是使用模擬器來模擬真實的裝置。此外,絕大多數低風險使用者仍然被要求處理使用者名稱和密碼,這還是會導致使用者體驗度下降。
從風險度量到信任度量
那麼,還有什麼選擇呢?商業領導者必須擴大視野,而不僅僅是欺詐和風險檢測。應對安全和使用者體驗挑戰的一種更強大,更現代的方法可能是將身份問題擺在桌面上,從風險度量轉變為信任度量。透過分析風險指標和活躍的身份指標(行為生物特徵,使用者行為等),組織可以瞭解使用者的背景,他們的行為以及他們在一系列數字身份信任和風險中所處的位置。
身份驗證的未來可以是無縫的、自適應的
信任度量可以使組織為各種使用者行為構建自定義的、細粒度的選項。風險高的使用者會被阻止,允許那些風險僅為中等的使用者訪問,但是會限制他們能夠訪問什麼資訊或可以完成什麼規模的交易。低風險使用者(指有輕微異常的使用者,比如使用新裝置訪問的使用者)可能會被要求進行身份驗證。高度受信任的使用者(即使用行為生物識別匹配的已知裝置的使用者)甚至可以享受無縫的、自適應的身份驗證體驗。
安全,滿足使用者體驗
那麼,身份驗證會損害使用者體驗嗎?在許多情況下,它可能會損害使用者體驗但這不是一定的。如果做得好,使用一種基於信任的策略,結合風險和身份標識,身份驗證可以是一種無縫的、自適應的體驗。
文章來源: https://securityintelligence....
歷史文章