随着公司不再仅仅依赖密码保护,基于风险的身份验证工具变得更加复杂和流行。
基于风险的身份验证(RBA)自适应身份验证,又称自适应身份验证,是不强制用户使用两个因素的身份验证(2FA)提高网站账户安全性的方法。随着网络钓鱼和账户接管的普及,该技术变得越来越重要。
基于风险的身份验证是什么?
RBA就是检查"信号",当用户登录或在线购买商品时,这些供应商几乎实时观察,并创建个人或设备的风险配置文件。该配置文件基于包括在内的因素或信号IP地理位置、用户行为、键模式和连接类型。这些因素可能会根据具体的威胁因素而变化,这可能需要持续管理风险状况。
基于风险的认证市场不断变化
自2013年益博瑞收购以来41st Parameter自身份认证领域发生多起并购事件:
- Equifax收购Kount
- Lexis/Nexis Risk Solutions收购ThreatMetrix
- Transunion收购Iovation
- Quest Software收购OneLogin(现在拥有OneIdentity)
- Vasco更名为OneSpan
- RSA 将 Fraud Manager 拆分为 Outseer
- Easy Solutions现在是Appgate的一部分
- Ping Identity收购SecureTouch
在所有这些活动的背后,RBA主要市场分为交易/欺诈预防和企业身份验证两个半。"半"它可以被认为是一些供应商的无密码认证类型。虽然最后一个用例不是完全自适应/增加身份验证,但结合一系列身份验证因素的概念有助于促进 RBA 的面采用。
这些并购表明RBA从不稳定的信息安全技术发展到主流,发展迅速。
推动采用RBA身份验证趋势
(1) 多因素身份验证成为常态
Google去年10月,多因素身份验证被迫在自己的账户中实施(MFA),并且已经迅速普及,因此网络钓鱼和账户入侵也迅速减少。这一举措也有助于促进更高的发展RBA利用率,因为在使用RBA之前,MFA防护措施需要到位。另外两项核心技术更受关注,包括更多的使用FIDOv2和OpenID Connect标准。这两种技术相对成熟,现在被大多数人接受,并在所有五个端点操作系统(Windows,MacOS,Linux,Android和iOS)它得到了很好的应用。
(2) 担心生物识别数据的使用
由于欧盟的GDPR在其他相关法案中,人们对如何使用安全工具的生物识别数据、存储数据的位置以及如何跨越身份验证基础设施越来越敏感。最近,美国国税局使用面部识别软件是一个负面案例。因此,拥有它RBA这些生物识别因素可以帮助控制安全设备更安全地使用。
(3) 威胁变得越来越复杂
RBA将继续在应对最新的复杂威胁方面发挥作用,其中一个例子是分期付款的日益普及。
(4) EMV 3-D Secure利用率提高
支付供应商继续开发EMV 3-D Secure(3DS)标准,标准结合RBA打击交易欺诈的技术。RBA供应商已经开始将此标准纳入其工具集。包括万事达卡在内的支付和信贷供应商NuData安全业务已全风险,安全业务已经升级为安全系统。他们将数十亿笔交易的庞大语料库作为欺诈的早期预警。NuData合作伙伴包括Thales和Entersekt。
基于风险的认证产品
目前,提供RBA包括制造商的产品Appgate RBA、思科/Duo安全、Entersekt 认证、iProov、Lexis/Nexis、Okta(提供自己的Auth0产品线)、OneLogin 、OneSpan智能自适应身份验证,Outseer欺诈经理、PingID(提供一系列产品),Silverfort、泰雷兹安全网可信接入等。
该领域的其他供应商也包括Iovation,Kount,IBM Security的Verity Access,HID全球风险管理,SecureAuth和Transmission Security。
(1) RBA定价
大多数RBA供应商对定价非常保守。一般有两种定价方式:一种是用于事务或欺诈测试业务,另一种是用于有时被称为劳动力的业务,即传统的每个最终用户身份验证业务。
值得注意的供应商有三个:Duo,Ping和Okta。Duo拥有最佳定价页面,以清晰和翔实的方式列出了各种定价层和每个定价层中可用的功能。Ping定价公开,Okta为其Okta和Auth0业务部门提供定价页面。许多供应商提供免费服务来试用他们的核心产品(如Duo和Auth0)不包括任何永久免费计划,但产品功能有限RBA支持。
(2) AppgateRBA
Appgate于2021年10月从Easy Solutions购买了RBA软件系列增加了先进的行为生物识别技术,带来了近乎实时的决策和更完整的决策API。必要时临时存储生物识别信息Appgate在服务器上,验证用户的登录名,但随后删除数据。
Appgate增加了RBA为了增强旧的验证能力Easy Solutions交易RBA。虽然Appgate现在是FIDO会员,但它还没有增加支持。该公司有交易定价,并表示,一个每年登录约600万次的中型组织将支付1万美元的固定费用,并对额外交易收取额外费用。他们没有自己的身份提供商,但可以通过SAML和Radius连接支持Active Directory,Google,Salesforce,SugarCRM等。
(3) 思科/Duo安全
自几年前被思科收购以来,Duo其身份验证产品不断增强,身份验证工具集合功能齐全。有些产品可以进入其访问层,但可能会进入完整的集合Beyond计划更有价值。
虽然Duo身份验证的功能范围是细粒度和深度RBA流程和策略都很复杂。例如,您可以跟踪用户位置、设备硬件指纹、行为因素、正在运行的应用程序等,但从这些不同的信号中制作最佳操作可能需要一些努力。任何生物识别数据都被加密并存储在端点安全区域。
Duo支持各种身份提供商,包括Okta,Google和Active Directory。它还支持FIDOv2它仍然是标准和设备OpenID共享信号工作组的关键参与者。正如我之前提到的,Duo定价是透明和有价值的,这应该是那些仍然隐藏其成本结构的供应商。该公司每月处理数十亿笔交易。
(4) Entersekt 认证
Entersekt总部位于南非开普敦,近十年来主要提供金融服务交易安全。它最近扩展到个人用户身份验证市场。Entersekt没有自己的身份提供商,但通过SAML和OAuth支持。它与终端安全硬件安全区,存储私有加密钥,检测安装在手机上的越狱和有害应用。
Entersekt 风险信号(包括位置、指纹硬件和 NuData Security对事务语料库进行评分,为每笔交易构建风险配置文件。它支持 FIDO 设备及标准。Entersekt提供交易和单个用户定价。
(5) iProov
iProov为开发人员提供另一家有十年历史的安全供应商SDK,而不是交钥匙应用程序套件。其网络每天处理数十万笔交易。iProov除非短期检查,否则不存储私人数据查看用户的初始登录数据。从12小时到1个月,客户可以设置此临时数据存储范围。
iProov支持身份提供程序,包括 ID.me,Ping Identity和 Jumio.com。它提供交易和单个用户定价。iProov参加了伦敦圣潘克拉斯火车站的一个有趣的实验,乘客只需扫描脸就可以登上欧洲之星列车。
(6) Lexis/Nexis
该公司于2018年收购ThreatMetrix,之后,建立了一个复杂的建立RBA提供一系列移动服务SDK和基于Java现在几乎每个大银行和大多数主要保险公司都能找到这些工具。Lexis/Nexis 使用其大型语料库(公司每小时处理超过85亿台设备2.71亿笔交易)检测交易欺诈,并提供身份验证信号。
以 为基础,提供三种不同层次的端点识别:Cookie 的 ExactID、基于 Java 的 SmartID 用私钥加密签名存储在手机或桌面安全区域的 StrongID 系统。它支持最新的 EMV 3DS 协议。Lexis/Nexis提供交易定价。
(7) Okta
Okta提供两条产品线。首先是。Auth0的自适应MFA。Auth0 风险信号集合完善,包括"不可能的旅行"(从远处连续多次登录),已知错误 IP 地址、爬虫程序检测和密码泄漏检测通过其单独的攻击保护和凭证保护服务(适用于企业计划)进行。定价是透明的,有一个永久的免费体验计划,其他计划每月起价23美元(不是基于每个用户,而是每笔交易)。RBA/MFA 功能仅用于企业计划,但需要额外费用。
Okta 自己的产品线包括 MFA 工具和 7000 不同产品的大量身份验证策略,以及大量针对不同编程语言和框架的 API 参考。Okta的风险生态系统API通过新的第三方解决方案(包括机器人检测和Web防火墙提供商应用程序Fastly,HUMAN,F5 Networks和PerimeterX)引入外部风险信号,增强其内置风险评分系统。Okta的FastPass无密码产品可与单点登录产品配合使用。
该公司还有一个透明的定价页面,提供个人用户服务计划,RBA每个用户每月起价5美元。自适应 MFA 每个用户每月需要6美元,还有其他额外的成本功能。对于企业级计划,单独的交易定价方案起价为3.6万美元/年。
(8) OneLoginby One Identity/Quest
OneLogin现在是One Identity解决方案的访问管理组件包括特权访问和Active Directory连接器。OneLogin RBA 其 功能Vigilance AI 动态风险引擎提供每个身份验证尝试评分,并分配适当的操作和登录过程。该产品还提供动态智能因素身份验证,并检查凭证是否被盗,以防止用户重复使用密码或以前的违规行为。
OneLogin 不存储任何生物识别数据,并支持设备上的硬件指纹识别。FIDO2/WebAuthn 标准作为附加 MFA(包括使用 Yubico 密钥、FaceID 和 Windows Hello)支持并存储在安全端点安全区。OneLogin能同步自己的IDP以及Google Workspace,AD,Azure AD,LDAP等等。工作场所用户的定价范围从每个用户每月2美元到6美元不等,还提供其欺诈/交易产品线的交易定价。
(9) OneSpan智能自适应身份验证
OneSpan 产品多年来一直提供 RBA 解决方案现在支持用户身份验证和交易市场。它自己的Cronto早期的硬件令牌为交易提供加密通道FIDO它结合了用户的行为方法。OneSpan还有集成的电子签名和自己的政府身份验证应用程序。它涵盖了各种 MFA 方法和令牌形状规格SSO 和 RBA 提供了大量预配置的规则和策略。
用户可以在其中演示"My Bank"查看产品在线应用程序中的工作原理。OneSpan定价没有披露。
(10) Outseer欺诈经理
Outseer是 RSA 传统欺诈分析业务部门的存储库主要面向金融机构。(RSA 的 SecurID 部门有自己的相似之处RBA技术产品。它有本地或基于云的版本,可以从其他行为和基于位置的第三方信息中获取信号。其中一个新模块可以保护分期付款"先买后付"另一个模块支持最新的交易欺诈EMV 3DS标准。供应商还提供欺诈信息服务。
(11) PingID PingOne
PingOne 是一系列身份验证产品,可用于各种配置支持 RBA 工作流身份验证和事务处理。该公司去年收购了它SecureTouch,现在叫这个产品PingOne Fraud,该产品专注于行为分析,并识别受损设备和其它可疑信号。Ping 以其广泛SSO收集1800多种不同的工具SAML集成而闻名。其他工具作为其产品的一部分包括:
- PingOne Risk对这些不同信号的风险管理引擎进行评估,PingOne Verify是其自己的ID验证工具。
- PingOne 授权是主要的 RBA 工具,用户可以设置身份验证规则和策略。
- PingOne DaVinci它是最新添加的标安排工具可用于使用类似 Visio 流程图创建自动化例程。由于使用联锁规则集和策略来设置风险升级方案,因此该工具更容易使用。
PingID30天免费试用所有组件。
(12) Silverfort
Silverfort采用不同的RBA依靠现有身份提供商的技术方法,如Ping,Okta和Azure AD。它具有全面的风险引擎功能,可以检测包括行为变化和外部风险指示器(如网络安全管理工具)的信号。它不使用任何软件代理或代理来消除潜在的威胁和身份验证问题,如果用户担心基于物联网的危害或无法轻松监控或保护的网络设备,这可能非常有用。例如,为任何端点设备提供 FIDO2 支持。Silverfort基于用户的定价。
(13) 泰雷兹安全网可信接入
泰雷兹为RBA提供两个业务部门:Safenet Trusted Access负责处理RBA个个人用户Gemalto该部门专注于银行和交易RBA。安全网络产品已经存在多年,并已发展成为用户、操作系统和应用程序组合的复杂规则和策略集合。它涵盖了各种MFA提供方法和令牌形状规格SSO和RBA。它是FIDO并通过早期部署SAML支持其身份提供商和其他提供商。泰雷兹和NuData Security合作,提供交易智能。安全网的基本价格是每个用户每月的基本价格3.5美元,包括一切MFA和RBA以及各种访问管理功能。
参考来源:https://www.csoonline.com/article/3651354/12-risk-based-authentication-tools-compared.html?page=2