Задача
Реализовывать усложненный или упрощенный сценарий аутентификации, основанный на анализе расчетных рисков, связанных с контекстом аутентификации пользователя. При анализе контекста следует учитывать, что различные свойства сессии в различной степени влияют на уровень риска.
Решение
Риск-адаптивная аутентификация (RBA) – это механизм динамического управления сценарием многофакторной аутентификации на основе анализа рисков, связанных с пользователем и текущей сессией. В отличие от статических сценариев MFA, где все пользователи проходят один и тот же набор факторов, RBA позволяет автоматически подстраивать требования безопасности под контекст входа, повышая уровень защиты и удобство использования системы.
Avanpost FAM/MFA+ оценивает два ключевых коэффициента риска:
- Коэффициент риска пользователя (User Risk, RU) рассчитывается на основе следующих факторов:
- наличия роли администратора;
- количества и типа привязанных аутентификаторов;
- числа и статуса запомненных устройств.
- Коэффициент риска сессии (Session Risk, RS) рассчитывается на основе следующих факторов:
- времени суток входа;
- IP-адресу и его принадлежности к доверенным сетям;
- типу и статусу устройства (запомнено/неизвестно, наличие root/jailbreak);
- набору пройденных факторов аутентификации.
Оба коэффициента вычисляются автоматически по внутренним формулам и принимают значения от 0.0 до 1.0, где 1.0 – максимальный риск. Для удобства отображения коэффициент выводится администратору в стобальной системе отображения.
Выгоды
Использование RBA позволяет получить следующие преимущества
- Повышенная безопасность: подозрительные попытки входа (новое устройство, страна, нерабочее время) автоматически блокируются или требуют усложненного сценария аутентификации.
- Улучшенный UX: легитимные пользователи с доверенных устройств проходят аутентификацию быстрее.
- Гибкость: администратор полностью контролирует пороговые значения и логику реакции на риск.