Η αυθεντικοποίηση με βάση το ρίσκο (risk-based authentication ή adaptive authentication – RBA) ορίζεται σαν το σύνολο των παραμέτρων και των μεταβλητών ρίσκου στη διάρκεια της διαδικασίας αυθεντικοποίησης.
Οι παράμετροι που συνθέτουν ένα προφίλ ρίσκου στη διαδικασία αυθεντικοποίησης χωρίζονται, συνήθως, σε δυο μεγάλες κατηγορίες:
1. Παράμετροι ρίσκου στην πλευρά του χρήστη, που συμπεριλαμβάνουν διεύθυνση ΙΡ του χρήστη, αναγνωριστικά της συσκευής του (π.χ. MAC address, τύπος επεξεργαστή, κτλ.), browser, ημερομηνία και ώρα, κ.ά.,
2. Παράμετροι ρίσκου στην εφαρμογή στην οποία ζητείται πρόσβαση, που συμπεριλαμβάνουν το βαθμό κρισιμότητας του εν λόγω συστήματος, το επίπεδο πρόσβασης, την πηγή προέλευσης του αιτήματος αυθεντικοποίησης, τους τυχόν χρονικούς περιορισμούς πρόσβασης, καθώς και άλλες ιδιαίτερες παραμέτρους που συνθέτουν ένα κρίσιμο ή σημαντικό γεγονός αυθεντικοποίησης (π.χ. πρόσβαση σε διαβαθμισμένες πληροφορίες).
Τα συστήματα RBA σχεδιάζονται με στόχο να ανιχνεύουν -και ταυτόχρονα να ελαχιστοποιούν- το υψηλό ρίσκο που υπάρχει στη διαδικασία αυθεντικοποίησης σαν σύνθεση των παραπάνω παραμέτρων.
Σενάρια Ρίσκου κατά τη διαδικασία αυθεντικοποίησης
Για παράδειγμα, ένας χρήστης ο οποίος -συνήθως- συνδέεται στο e-banking μιας τράπεζας από τον υπολογιστή του σπιτιού του, ορισμένες φορές το μήνα και πάντοτε σε συγκεκριμένες ώρες της ημέρας (π.χ. γύρω στις 8-10 το βράδυ), εμφανίζεται να αιτείται πρόσβαση από μια εντελώς ασυνήθιστη γεωγραφική περιοχή, από μια συσκευή που ποτέ δεν έχει χρησιμοποιήσει στο παρελθόν, σε μια εντελώς ασυνήθιστη ώρα (π.χ. στις 3 το πρωί).
Η συμπεριφορά αυτή εκλαμβάνεται ως υψηλού ρίσκου από το σύστημα RBA, μιας και διαφέρει αρκετά από την «τυπική» συμπεριφορά του συγκεκριμένου χρήστη.
Έτσι, το σύστημα RBA μπορεί να ζητήσει μια πρόσθετη πληροφορία αυθεντικοποίησης (π.χ. εισαγωγή ενός πρόσθετου κωδικού μιας χρήσης), προκειμένου να εξακριβώσει αν ο συγκεκριμένος χρήστης είναι εκείνος που ισχυρίζεται (π.χ. βρίσκεται σε ένα ταξίδι και αιτείται πρόσβαση από τον υπολογιστή ενός ξενοδοχείου), ή αν εκείνη τη στιγμή είναι σε εξέλιξη μια απόπειρα παραβίασης του λογαριασμού του από κάποιον άλλον. Η χρήση των συστημάτων RBA μπορεί να επεκταθεί και πέρα από την αυθεντικοποίηση κατά της αίτηση πρόσβασης (login), ώστε να αποτρέψει τη διενέργεια μη-εξουσιοδοτημένων συναλλαγών (transaction).
Για παράδειγμα, αν ένας χρήστης πραγματοποιεί συναλλαγές ενός συγκεκριμένου ποσού κάθε φορά που χρησιμοποιεί το e-banking μιας Τράπεζας (π.χ. πληρωμές λογαριασμών) και κάποια στιγμή αποπειραθεί να εκτελέσει μια συναλλαγή άλλου τύπου (π.χ. μεταφορά μεγάλου χρηματικού ποσού σε κάποιον τρίτο), τότε το σύστημα RBA μπορεί να επιτρέψει, χωρίς πρόσθετες πληροφορίες, την πληρωμή του λογαριασμού αλλά να ζητήσει έναν πρόσθετο κωδικό ασφάλειας κατά τη διαδικασία μεταφοράς του μεγάλου χρηματικού ποσού.
Έτσι, ενώ παρέχει πρόσθετη ασφάλεια σε μια συναλλαγή υψηλού ρίσκου, ταυτόχρονα δεν «ενοχλεί» το χρήστη στις τυπικές του συναλλαγές, μιας και αυτές χαρακτηρίζονται ως χαμηλού ρίσκου συναλλαγές, δεδομένης της τυπικής συμπεριφοράς του συγκεκριμένου χρήστη.
Η αγορά των συστημάτων RBA
Η αγορά των RBA συστημάτων βρίσκεται σε αλματώδη ανάπτυξη, μιας και – σύμφωνα με τo Gartner Group- περισσότερες από το 30% των εταιρειών που επιτρέπουν την απομακρυσμένη πρόσβαση με παραδοσιακές μεθόδους (π.χ. χρήση username/password) θα μεταβούν σε συστήματα RBA μέχρι το τέλος του 2016, ενώ ολοένα και περισσότεροι κατασκευαστές προσφέρουν ιδιαίτερα ευέλικτα και ευφυή συστήματα που βασίζονται στη συγκεκριμένη τεχνολογία.
Του Δημήτρη Πατσού
CTO
