O processo de autenticação forte conta com diferentes tipos de fatores que devem ser combinados entre si, servindo tanto para uma experiência agradável ao usuário quanto para a segurança dos dados sensíveis. Mas como deve ser realizada a calibração do score de risco dos usuários que acessam o sistema?

O Risk Based Authentication (RBA) utiliza diversos fatores para permitir que o usuário acesse ou não o sistema. Veja o seguinte cenário:

Fatores de autenticação:

  • ID do usuário;
  • Senha;
  • Familiaridade do dispositivo (reconhecimento do dispositivo pela organização);
  • Geolocalização;
  • Endereço IP;
  • Tendências de Login (horário de acesso ao sistema);
  • Contexto de uso (está acessando o conteúdo apropriado para sua posição?).

Cada um desses fatores será calibrado de acordo com os requisitos da organização. Assim, diferentes usuários terão o acesso autenticado ou não, dependendo da pontuação obtida nesses fatores. Por exemplo:

Usuário 1: agiu de acordo com todos os fatores de autenticação, não há empecilhos para seu acesso ao sistema.

Usuário 2: ID de usuário, senha, familiaridade do dispositivo, endereço IP e contexto de uso apropriado, localização e horário de acesso impróprios. Nesse caso, é provável que o acesso seja liberado.

Usuário 3: familiaridade do dispositivo, localização e contexto de uso duvidosos, horário de acesso impróprio. Usuário com alta pontuação e não autenticado. Logo, recebe uma solicitação para informar um outro modo de autenticação, com objetivo de evitar acesso de fraudadores.

O que ocorre é que cada um dos fatores deve ser calibrado cuidadosamente, de acordo com a política e organização da empresa. Assim, podem ser adicionados novos fatores e configura-se a relevância devida a cada um deles, com isso o sistema contabiliza e aprova confiavelmente os usuários de melhor comportamento.

Outro aspecto relevante, é a continuidade de avaliação do score de risco após o acesso, presente em algumas soluções com RBA, esse processo coleta o comportamento e armazena dados sobre o usuário. Dessa forma, mesmo que um usuário suspeito tenha conseguido passar pela barreira de entrada ele pode ser retirado do sistema.

A pontuação atingida pelos usuários também deve ser armazenada, assim, mesmo que tenham passado pela autenticação e o uso tenha sido adequado, é possível monitorar comportamentos impróprios distintos.

O módulo Authfy Risk realiza todo o processo de análise de comportamento do usuário. Com o objetivo de propor a estratégia Passworlless, o Risk valida a autenticidade do acesso de acordo com o comportamento do usuário, baseado em um acesso sem fricção, porém seguro.

Quero conhecer a plataforma Authfy

Fale com um especialista



Leave a Reply