随着公司不再仅仅依赖密码保护,基于风险的身份验证工具变得更加复杂和流行。基于风险的身份验证(RBA),也称为自适应身份验证,是一种在不强制用户使用双因素身份验证(2FA)的情况下提高网站帐户安全性的方法。在网络钓鱼和帐户接管的背景下,这项技术变得越来越重要。什么是基于风险的身份验证?RBA就是在用户登录或客户在线购买商品时检查“信号”。这些供应商还近乎实时地进行各种观察,并创建请求访问系统的个人或设备的风险概况。此配置文件基于包括IP地理位置、用户行为、击键模式和连接类型在内的因素或信号。这些因素可能会根据特定的威胁因素而变化,这可能需要对风险状况进行持续管理。不断变化的基于风险的身份验证市场自Experian于2013年收购41stParameter以来,身份验证领域出现了几起并购:Equifax收购了KountLexis/NexisRiskSolutions收购了ThreatMetrixTransunion收购了IovationQuest将OneSpanRSA的FraudManager转移到OutseerEasySolutions现在是AppgatePingIdentity收购SecureTouch的一部分在所有这些活动的背后,RBA的主要市场已经一分为二:交易/欺诈预防和企业身份验证。这个“一半”可以被认为是一些供应商正在使用的无密码身份验证类型。虽然最后一个用例不是完全自适应/增量身份验证,但结合一系列身份验证因素的概念可能有助于推动RBA的普遍采用。这些并购表明RBA从摇摇欲坠的信息安全技术迅速发展成为主流。推动采用RBA的身份验证趋势(1)多因素身份验证成为迅速减少的规范。此举还有助于提高RBA的采用率,因为在使用RBA之前需要制定MFA保障措施。另外两项获得更多关注的核心技术包括更多地采用FIDOv2和OpenIDConnect标准。这两项技术已经成熟,现已被大多数人接受,并在所有五种端点操作系统(Windows、MacOS、Linux、Android和iOS)中得到很好的应用。(2)对生物特征数据使用的担忧由于欧盟的GDPR和其他相关立法,人们对安全工具如何利用生物特征数据、生物特征数据的存储位置以及它如何跨越身份验证基础设施越来越敏感。美国国税局最近使用面部识别软件就是一个很好的例子。因此,拥有RBA可以帮助控制安全设备更安全地使用这些生物识别因素。(3)威胁越来越复杂澳大利亚央行将继续在应对最新的复杂威胁方面发挥作用,分期付款的日益普及就是一个例子。(4)越来越多地采用EMV3-D安全支付提供商继续开发EMV3-D安全(3DS)标准,该标准结合了RBA技术来打击交易欺诈。一些RBA供应商已经开始将此标准纳入他们的工具集中。支付和信贷提供商,包括万事达卡的NuData安全业务,已经升级了他们的安全系统,通过使用他们现在可以访问的数十亿交易的庞大语料库作为欺诈的早期警告来应对安全风险。NuData的合作伙伴包括Thales和Entersekt。基于风险的认证产品目前提供RBA的厂商有AppgateRBA、Cisco/DuoSecurity、EntersektAuthentication、iProov、Lexis/Nexis、Okta(提供自己的Auth0产品线)、OneLogin、OneSpanIntelligentAdaptiveAuthentication、OutseerFraudManager、PingID(提供一系列产品)、Silverfort、ThalesSafetyNetTrustedAccess等。该领域的其他供应商包括Iovation、Kount、IBMSecurity的VerityAccess、HID的GlobalRiskManagement、SecureAuth和TransmissionSecurity。(1)RBA定价大多数RBA供应商的定价都很保守。通常有两种定价方法:一种方案用于交易或欺诈检测业务,另一种方案用于有时被称为人工的方案,即传统的按最终用户身份验证业务。有三个著名的提供商值得关注:Duo、Ping和Okta。Duo有最好的定价页面,以清晰和信息丰富的方式列出各种定价层和每个定价层中可用的功能。Ping公开了其定价,Okta为其Okta和Auth0业务部门提供了定价页面。许多供应商提供其核心产品的免费试用,有些供应商(如Duo和Auth0)提供永久免费计划,但产品功能有限,不包括任何RBA支持。(2)AppgateRBAAppgate于2021年10月从EasySolutions购买了RBA软件系列,并添加了先进的行为生物识别技术,带来近乎实时的决策制定和更完整的API。当需要验证用户登录时,该产品会暂时将生物识别信息存储在Appgate服务器上,但随后会删除数据。Appgate添加了RBA验证功能,以增强旧的EasySolutions交易RBA。虽然Appgate现在是FIDO成员,但尚未添加支持。该公司有交易定价,并表示每年约有600万次登录的中型组织将支付10,000美元的固定费用,并对额外交易收取附加费。他们没有自己的身份提供者,但可以通过SAML和Radius连接支持ActiveDirectory、Google、Salesforce、SugarCRM等。(3)Cisco/DuoSecurityDuo在几年前被Cisco收购后,不断增强其认证产品,拥有功能齐全的认证工具集合。一些产品可以访问其访问层,但进入全套Beyond计划层可能更有价值。虽然Duo的身份验证功能范围精细而深入,但管理RBA流程和策略却很复杂。例如,您可以跟踪用户位置、设备硬件指纹、行为因素、正在运行的应用程序等,但是,根据这些不同的信号制定最佳操作可能需要一些努力。任何生物识别数据都经过加密并存储在端点上安全的安全区域中。Duo支持各种身份提供商,包括Okta、Google和ActiveDirectory。它还支持FIDOv2标准和设备,并且是OpenID共享信号工作组的主要参与者。正如我之前提到的,Duo的定价是透明且有价值的,这应该成为仍然隐藏其费用结构的提供商的榜样。该公司每月处理数十亿笔交易。(4)EntersektCertificationEntersekt总部位于南非开普敦,过去十年一直致力于提供金融服务交易安全。它最近扩展到个人用户的身份验证市场。Entersekt没有自己的身份提供者,但通过SAML和OAuth得到支持。它与EndpointSecurityHardwareEnclave配合使用来存储私有加密密钥并检测手机上安装的越狱和不需要的应用程序。Entersekt对风险信号进行评分,包括位置、指纹硬件和NuDataSecurity交易语料库,为每笔交易建立风险概况。它支持FIDO设备和标准。Entersekt提供交易定价和单用户定价。(5)iProoviProov,另一家拥有十年历史的安全供应商,为开发人员提供SDK而不是交钥匙应用程序套件。它的网络每天处理数十万笔交易。iProov不存储私人数据,除了对用户初始登录数据的简要检查。客户可以设置此临时数据存储的范围,从12小时到1个月不等。iProov支持包括ID.me、PingIdentity和Jumio.com在内的身份提供商。它提供交易和单用户定价。iProov参与了伦敦圣潘克拉斯车站的一项有趣试验,乘客只需扫描面部即可登上欧洲之星列车。(6)Lexis/Nexis于2018年收购了ThreatMetrix,此后建立了成熟的RBA业务,提供一系列移动SDK和基于Java的工具,现在几乎所有主要银行和大多数主要保险公司都可以找到这些工具。Lexis/Nexis使用其庞大的语料库(该公司每小时在超过85亿台设备上处理超过2.7亿笔交易)来检测交易欺诈并提供身份验证信号。它提供三种不同级别的端点识别:基于cookie的ExactID、基于Java的SmartID和使用存储在手机或桌面安全区域中的私钥进行加密签名的StrongID系统。它支持最新的EMV3DS协议。Lexis/Nexis提供交易定价。(7)OktaOkta提供两条产品线。第一个是Auth0的AdaptiveMFA。Auth0有一套完善的风险信号,包括“不可能的旅行”(从相隔很远的位置连续多次登录)、已知的错误IP地址、机器人检测,以及通过其单独的攻击保护和凭证保护服务(用于企业计划))密码泄露检测。定价透明,永久免费试用计划和其他计划起价为每月23美元(不是按用户计算,而是按交易计算)。任何RBA/MFA功能仅适用于企业计划,但需额外付费。Okta自己的产品线包括其MFA工具和跨越7,000种不同产品的大量身份验证策略,以及针对不同编程语言和框架的大量API参考。Okta的风险生态系统API通过从新的第三方解决方案(包括机器人检测和Web应用程序防火墙提供商Fastly、HUMAN、F5Networks和PerimeterX)引入外部风险信号来增强其内置风险评分系统。Okta的FastPass无密码产品与其单点登录产品配合使用。该公司还有一个透明的定价页面,提供个人用户服务计划,RBA起价为每位用户每月5美元。自适应MFA的费用为每位用户每月6美元,以及其他额外收费功能。对于企业计划,个人交易定价计划起价为$36000/年。(8)OneLoginbyOneIdentity/QuestOneLogin现在是OneIdentity解决方案的访问管理组件,范围包括PrivilegedAccess和ActiveDirectoryConnector。OneLoginRBA功能由其VigilanceAI动态风险引擎提供支持,该引擎对每次身份验证尝试进行评分并分配适当的操作和登录流程。该产品还提供动态智能因素身份验证和检查是否有泄露的凭据,以防止用户重复使用密码或以前的违规行为。OneLogin不存储任何生物识别数据,并支持设备上的硬件指纹识别。FIDO2/WebAuthn标准作为额外的MFA得到支持(包括使用Yubico密钥、FaceID和WindowsHello)并存储在安全端点飞地中。OneLogin可以同步自己的IDP以及GoogleWorkspace、AD、AzureAD、LDAP等。工作场所用户的定价范围为每位用户每月2美元到6美元,并且还为其欺诈/交易产品线提供交易定价。(9)OneSpan智能自适应认证OneSpan产品多年来一直提供RBA解决方案,现在支持用户认证和交易市场。它自己的Cronto硬件令牌,为交易提供加密通道,是FIDO的早期采用者,结合了用户行为方法。OneSpan还集成了电子签名和自己的政府认证应用程序。它涵盖了各种MFA方法和令牌形式因素,并为SSO和RBA提供了大量预配置的规则和策略。用户可以在其演示“我的银行”在线应用程序中查看该产品的工作原理。OneSpan没有透露定价。(10)OutseerFraudManagerOutseer是针对金融机构的RSA传统欺诈分析业务部门的存储库。(RSA的SecurID部门有自己的产品,类似于RBA技术。它有本地或基于云的版本,可以从其他基于行为和位置的第三方信息中获取信号。其中一个新模块可以安全安装“buynowpaylater”交易中的欺诈,同时另一个模块支持最新的EMV3DS标准。供应商还提供欺诈行为情报服务。(11)PingIDPingOnePingOne是一系列认证产品,可提供各种配置,支持RBA进行Workflow认证和交易处理。该公司去年收购了SecureTouch,现在将产品称为PingOneFraud,该产品着眼于行为分析并识别受感染的设备和其他可疑信号。Ping使用其广泛的SSO工具收集了1,800个以多种不同的SAML集成而闻名。其他工具是其产品的一部分,包括:PingOneRisk,它的风险管理引擎,用于评估这些差异ferentsignals,PingOneVerify,它自己的身份验证工具。PingOneAuthorization,其主要的RBA工具,用户可以在其中设置身份验证规则和策略。PingOneDaVinci是他们对身份编排工具的最新补充,可用于使用类似Visio的流程图创建自动化例程。该工具易于使用,因为它使用互锁规则集和策略设置风险升级场景可能难以调试。PingID提供所有组件的30天免费试用。(12)SilverfortSilverfort对RBA技术采取了不同的方法,它依赖于现有的身份提供者,如Ping、Okta和AzureAD。它具有全面的风险引擎功能,可以检测包括行为变化和外部风险指标(例如来自网络安全管理工具)的信号。它不使用任何软件代理或代理来解决潜在的威胁和身份验证问题,如果用户担心基于IoT的危害或这对于无法轻松监控或保护的网络设备可能很有用。例如,FIDO2支持任何端点设备。Silverfort具有基于用户的定价。(13)ThalesSecureWebTrustedAccessThales为RBA提供两个业务部门:其SafenetTrustedAccess处理RBA的个人用户,其Gemalto部门专注于银行和贸易RBA。Safenet产品已存在多年,并已演化为针对用户、操作系统和应用程序以及策略集的组合的复杂规则。它涵盖各种MFA方法和令牌形式因素,并提供SSO和RBA。它是FIDO的早期部署,通过SAML支持自己的身份提供者和其他提供者。Thales与NuDataSecurity合作提供交易情报。SafetyNet的基本价格为每个用户每月3.50美元,其中包括所有MFA和RBA选项以及各种访问管理功能。参考来源:https://www.csoonline.com/article/3651354/12-risk-based-authentication-tools-compared.html?page=2
