Что такое адаптивная многофакторная аутентификация?
- Глоссарий IAM
- Что такое адаптивная многофакторная аутентификация?
Адаптивная многофакторная аутентификация (адаптивная МФА) — это метод безопасности, который оценивает контекстные факторы, прежде чем предложить пользователю подтвердить свою личность с помощью дополнительной аутентификации. В отличие от стандартной МФА, адаптивная МФА запрашивает подтверждение только тогда, когда контекстные индикаторы, такие как тип устройства, местоположение или поведение, отклоняются от их обычных шаблонов. Адаптивная МФА помогает защищать онлайн-аккаунты, одновременно упрощая процесс входа для доверенных пользователей.
Как работает адаптивная МФА
Адаптивная МФА анализирует риски безопасности в реальном времени, используя контекстные данные, чтобы определить, является ли попытка входа легитимной и какие требования к аутентификации следует применять. Когда пользователь пытается войти в систему, система оценивает такие данные, как IP-адрес пользователя, географическое местоположение и время доступа, сопоставляя их с его обычным поведением. На основании результатов система присваивает попытке входа оценку риска. Вот типы оценок риска:
- Низкий риск: Если попытка входа соответствует типичному поведению пользователя, вам может потребоваться ввести только имя пользователя и пароль для получения доступа.
- Средний риск: Если пользователь входит с нового устройства или в необычное время, ему могут предложить подтвердить свою личность с помощью дополнительного шага, например, одноразового пароля (OTP).
- Высокий риск: Если система обнаружит несколько аномалий, таких как вход из незнакомого места или с подозрительного IP-адреса, пользователю может потребоваться использовать более надежные методы аутентификации, такие как биометрия, иначе доступ будет запрещён.
Например, если пользователь обычно входит в систему с ноутбука в Нью-Йорке в рабочее время, попытка входа с мобильного устройства в Австралии в 3:00 будет считаться высокорискованной. Система может потребовать как OTP, так и биометрическую аутентификацию, и доступ будет заблокирован, если пользователь не сможет выполнить требования.
МФА и адаптивная МФА
Традиционная многофакторная аутентификация (МФА) требует от пользователей подтверждения своей личности с помощью двух или более методов аутентификации. Как правило, для МФА требуется что-то, что пользователь знает (например, пароль), что-то, что у него есть (например, одноразовый пароль), или что-то, чем он является (например, отпечаток пальца). МФА применяет один и тот же набор заранее определенных шагов аутентификации ко всем пользователям, независимо от их уровня риска или контекстных данных.
Адаптивная многофакторная аутентификация расширяет эту концепцию, применяя контекстные оценки рисков для определения необходимого уровня аутентификации. Пользователи с низким уровнем риска получают меньше запросов, что улучшает удобство использования, в то время как попытки с высоким уровнем риска вызывают более строгие меры безопасности.
| Многофакторная аутентификация | Адаптивная многофакторная аутентификация |
|---|---|
| Метод аутентификации | |
| Одинаковые шаги для всех пользователей | Динамические шаги на основе контекста и уровня риска. |
| Гибкость | |
| Применяет фиксированные правила ко всем попыткам входа в систему. | Адаптируется к каждому сценарию входа. |
| Оценка риска | |
| Не включено | Встроенный механизм, использующий контекстные данные для анализа риска |
| Истории успеха | |
| Идеально подходит для базовых сред с предсказуемым поведением доступа пользователей | Идеально подходит для динамичных сред, которые требуют как удобства, так и продвинутых мер безопасности |
Преимущества адаптивной МФА
Адаптивная многофакторная аутентификация предоставляет организациям ряд преимуществ, особенно по сравнению с традиционной МФА, поскольку она фокусируется на контексте. Вот способы, которыми адаптивная многофакторная аутентификация повышает безопасность, одновременно снижая трения для доверенных пользователей.
Повышенная безопасность
Традиционные методы МФА работают в тандеме со статическими учетными данными, такими как пароли и PIN-коды, которые более уязвимы к фишинговым атакам и краже учетных данных. С помощью адаптивной многофакторной аутентификации попытки входа оцениваются в реальном времени для выявления подозрительной активности и применения более строгих мер аутентификации при необходимости. Если попытка входа в систему слишком необычна и пользователь не предоставляет требуемую аутентификацию, доступ будет полностью заблокирован, защищая конфиденциальные данные от несанкционированного доступа.
Лучший пользовательский опыт
Когда пользователь определяется как низкорисковый, входя из знакомого места или устройства, он столкнётся с меньшим количеством запросов МФА. Ускоренный процесс входа позволяет доверенным пользователям быстрее получить доступ к своим учетным записям без необходимости ненужной проверки их личности. Требуя более строгую аутентификацию только при необходимости, адаптивная МФА обеспечивает менее раздражающий опыт входа без угрозы безопасности.
Снижение эксплуатационных расходов
С уменьшением количества ненужных запросов на аутентификацию пользователи с меньшей вероятностью забудут свои учетные данные, что приведет к сокращению числа обращений в службу поддержки. Адаптивная МФА помогает организациям экономить время и деньги, минимизируя запросы на сброс пароля и снижая количество блокировок учетных записей благодаря надежным процессам аутентификации.
Как реализовать адаптивную МФА
Вот основные шаги для успешного внедрения адаптивной многофакторной аутентификации в вашей организации:
- Оцените потребности бизнеса: Определите, где адаптивная многофакторная аутентификация наиболее необходима, исходя из требований безопасности вашей организации, ролей пользователей и уровней доступа. Следует отдавать приоритет системам, которые обрабатывают конфиденциальные данные, имеют привилегированные учетные записи или более вероятно подвергнутся кибератакам.
- Выберите поставщика: Выберите надежного поставщика адаптивной многофакторной аутентификации, который соответствует вашим требованиям к инфраструктуре и безопасности. Некоторые популярные варианты включают Microsoft Entra ID и Duo Security.
- Определите контекстуальные политики риска: Установите четкие правила для классификации попыток входа в систему как низкого, среднего или высокого риска. Определите, какие контекстные факторы (IP-адрес, устройство, поведение и т. д.) должны инициировать дополнительные требования к аутентификации.
- Интегрируйтесь с существующими системами: Убедитесь, что выбранное вами решение совместимо с вашей текущей ИТ-средой, включая платформы единого входа (SSO), поставщиков идентификации (IdP) и виртуальные частные сети (VPN).
- Запустите пилотный проект: Перед тем как внедрить адаптивную МФА в остальную часть вашей организации, протестируйте ее на небольшой группе пользователей. Проанализируйте работу системы оценки рисков и убедитесь, что в зависимости от контекста применяются соответствующие этапы аутентификации.
- Обучайте пользователей: Объясните, почему внедряется адаптивная МФА и какие преимущества она приносит всем сотрудникам. Важно подготовить пользователей к любым изменениям, которые могут произойти во время их входа в систему, чтобы избежать ненужного разочарования или сбоев.
- Контролируйте и оптимизируйте: Регулярно просматривайте журналы аудита, чтобы определить, нужно ли обновлять политики на основе поведения пользователей. Используйте данные для настройки триггеров и улучшения точности уровней риска.
