Czym jest adaptacyjne uwierzytelnianie wieloskładnikowe?
- Słownik IAM
- Czym jest adaptacyjne uwierzytelnianie wieloskładnikowe?
Adaptacyjne uwierzytelnianie wieloskładnikowe (adaptacyjne MFA) to metoda zabezpieczeń, która ocenia czynniki kontekstowe, zanim poprosi użytkownika o weryfikację tożsamości za pomocą dodatkowego uwierzytelniania. W przeciwieństwie do standardowego MFA, adaptacyjne MFA wyzwala dodatkowe uwierzytelnianie tylko wtedy, gdy wskaźniki kontekstowe, takie jak typ urządzenia, lokalizacja lub zachowanie, odbiegają od normalnych wzorców. Adaptacyjne MFA pomaga chronić konta online, jednocześnie upraszczając proces logowania dla zaufanych użytkowników.
Jak działa adaptacyjne MFA
Adaptacyjne MFA analizuje zagrożenia bezpieczeństwa w czasie rzeczywistym przy użyciu danych kontekstowych, aby określić, czy próba logowania jest uzasadniona i jakie wymagania uwierzytelniania należy zastosować. Gdy użytkownik próbuje się zalogować, system ocenia punkty danych, takie jak adres IP użytkownika, lokalizacja geograficzna i czas dostępu, w odniesieniu do jego zwykłego zachowania. Na podstawie wyników system przypisuje wynik ryzyka próbie logowania. Oto rodzaje ocen ryzyka:
- Niskie ryzyko: Jeśli próba logowania jest zgodna z typowym zachowaniem użytkownika, być może do uzyskania dostępu wystarczy wprowadzić nazwę użytkownika i hasło.
- Średnie ryzyko: Jeśli użytkownik zaloguje się z nowego urządzenia lub o nietypowej porze, może zostać poproszony o weryfikację tożsamości za pomocą dodatkowego kroku, takiego jak hasło jednorazowe (OTP).
- Wysokie ryzyko: Jeśli system wykryje wiele anomalii, takich jak logowanie z nieznanej lokalizacji lub podejrzany adres IP, użytkownik może być zmuszony do użycia silniejszych metod uwierzytelniania, takich jak biometria, w przeciwnym razie dostęp zostanie odmówiony.
Na przykład, jeśli użytkownik zazwyczaj loguje się z laptopa w Nowym Jorku w godzinach pracy, próba logowania z urządzenia mobilnego w Australii o 3:00 nad ranem byłaby uznana za wysokie ryzyko. System może wymagać zarówno jednorazowego hasła (OTP), jak i uwierzytelnienia biometrycznego, a dostęp zostanie zablokowany, jeśli użytkownik nie będzie mógł spełnić tych wymagań.
MFA vs adaptacyjne MFA
Tradycyjne uwierzytelnianie wieloskładnikowe (MFA) wymaga od użytkowników weryfikacji ich tożsamości poprzez użycie dwóch lub więcej metod uwierzytelniania. Zazwyczaj MFA wymaga czegoś, co użytkownik wie (np. hasło), czegoś, co posiada (np. OTP) lub czym jest (np. odcisk palca). Uwierzytelnianie wieloskładnikowe (MFA) stosuje ten sam zestaw wstępnie określonych kroków uwierzytelniania dla wszystkich użytkowników, niezależnie od ich poziomu ryzyka lub danych kontekstowych.
Adaptacyjne uwierzytelnianie wieloskładnikowe rozszerza to, wykorzystując kontekstowe oceny ryzyka do określenia niezbędnego poziomu uwierzytelniania. Użytkownicy o niskim ryzyku otrzymują mniej powiadomień, co poprawia użyteczność, podczas gdy próby o wysokim ryzyku uruchamiają silniejsze środki bezpieczeństwa.
| Uwierzytelnianie wieloskładnikowe | Adaptacyjne uwierzytelnianie wieloskładnikowe |
|---|---|
| Metoda uwierzytelniania | |
| Te same kroki dla wszystkich użytkowników | Dynamiczne kroki oparte na kontekście i poziomie ryzyka |
| Elastyczność | |
| Stosuje stałe zasady do wszystkich prób logowania. | Dostosowuje się do każdego scenariusza logowania |
| Ocena ryzyka | |
| Nie jest wliczone | Wbudowane, wykorzystujące dane kontekstowe do analizy ryzyka |
| Przypadki użycia | |
| Idealne dla podstawowych środowisk z jednolitym zachowaniem dostępu użytkowników | Idealne dla dynamicznych środowisk, które wymagają zarówno wygody, jak i zaawansowanych środków bezpieczeństwa |
Korzyści z adaptacyjnego MFA
Adaptacyjne MFA oferuje organizacjom wiele zalet, szczególnie w porównaniu z tradycyjnym MFA, koncentrując się na kontekście. Oto sposoby, w jakie adaptacyjne MFA zwiększa bezpieczeństwo, jednocześnie zmniejszając niedogodności dla zaufanych użytkowników.
Zwiększone bezpieczeństwo
Tradycyjne MFA działa w tandemie ze statycznymi poświadczeniami, takimi jak hasła i PIN-y, które są bardziej podatne na ataki phishingowe i kradzież poświadczeń. Dzięki adaptacyjnemu MFA próby logowania są oceniane w czasie rzeczywistym, aby zidentyfikować podejrzaną aktywność i zastosować silniejsze kroki uwierzytelniania, gdy jest to konieczne. Jeśli próba logowania jest zbyt nietypowa, a użytkownik nie dostarczy wymaganego uwierzytelnienia, dostęp zostanie całkowicie zablokowany, chroniąc poufne dane przed nieautoryzowanymi użytkownikami.
Lepsze wrażenia użytkowników
Gdy użytkownik zostanie zidentyfikowany jako osoba o niskim ryzyku, logując się ze znanej lokalizacji lub urządzenia, napotka mniej monitów MFA. To przyspieszone logowanie umożliwia zaufanym użytkownikom szybszy dostęp do ich kont bez konieczności niepotrzebnej weryfikacji tożsamości. Wymagając silniejszego uwierzytelniania tylko wtedy, gdy jest to konieczne, adaptacyjne MFA zapewnia mniej frustrujące doświadczenie logowania bez narażania bezpieczeństwa.
Obniżone koszty operacyjne
Przy mniejszej liczbie niepotrzebnych monitów o uwierzytelnianie użytkownicy rzadziej zapominają swoje dane uwierzytelniające, co skutkuje mniejszą liczbą zgłoszeń do działu pomocy technicznej IT. Adaptacyjne MFA pomaga organizacjom zaoszczędzić czas i pieniądze, minimalizując żądania resetowania haseł i zmniejszając liczbę blokad kont dzięki silnym procesom uwierzytelniania.
Jak zaimplementować adaptacyjne MFA
Oto główne kroki, aby pomyślnie wdrożyć adaptacyjne MFA w Państwa organizacji:
- Ocena potrzeb biznesowych: Należy określić, gdzie adaptacyjne MFA jest najbardziej potrzebne w oparciu o wymagania bezpieczeństwa Państwa organizacji, role użytkowników i poziomy dostępu. Należy również nadać priorytet systemom, które obsługują poufne dane, mają konta uprzywilejowane lub są bardziej narażone na ataki cybernetyczne.
- Wybór dostawcy: Należy wybrać zaufanego dostawcę adaptacyjnego MFA, który odpowiada Państwa infrastrukturze i wymogom bezpieczeństwa. Do popularnych wyborów należą Microsoft Entra ID i Duo Security.
- Zdefiniowanie kontekstowych polityk ryzyka: Należy ustalić jasne zasady kategoryzowania prób logowania jako niskiego, średniego lub wysokiego ryzyka. Należy także określić, które czynniki kontekstowe (adres IP, urządzenie, zachowanie itp.) powinny wywoływać dalsze wymagania dotyczące uwierzytelniania.
- Integracja z istniejącymi systemami: Należy upewnić się, że wybrane rozwiązanie jest kompatybilne z obecnym środowiskiem IT, w tym z platformami Single Sign-On (SSO), dostawcami tożsamości (IdP) i Virtual Private Networks (VPN).
- Przeprowadzenie pilotażu: Należy przetestować konfigurację adaptacyjnego MFA na małej grupie użytkowników przed wdrożeniem jej w pozostałej części organizacji. Warto obserwować, jak działa system oceny ryzyka i zweryfikować, czy odpowiednie kroki uwierzytelniania są stosowane w oparciu o kontekst.
- Edukowanie użytkowników: Należy wyjaśnić cel wdrożenia adaptacyjnego MFA i jakie korzyści przynosi wszystkim pracownikom. Ważne jest, aby przygotować użytkowników na wszelkie zmiany, które mogą wystąpić podczas ich doświadczenia logowania, aby uniknąć niepotrzebnych frustracji lub zakłóceń.
- Monitorowanie i optymalizacja: Warto regularnie przeglądać dzienniki audytu, aby na bieżąco weryfikować, czy zasady wymagają aktualizacji w oparciu o zachowanie użytkowników. Warto również używać danych do dostosowywania wyzwalaczy i poprawy dokładności poziomów ryzyka.
