احراز هویت تطبیقی چیست و چطور کار می‌کند؟

احراز هویت تطبیقی فرآیند احراز هویت یک کاربر بر اساس سطح ریسک او هنگام تلاش برای ورود است. برای پیاده‌سازی احراز هویت تطبیقی، ممکن است نیازمند تایید چند فاکتور امنیتی و چند روش مختلف احراز هویت باشیم که اصطلاحا به آن احراز هویت چند عاملی گفته می‌شود.

معمولاً سطح ریسک به طور خودکار توسط اولین روش احراز هویت ارزیابی می‌شود و اگر خطر تقلب کم باشد، اجازه ورود به سیستم صادر می‌شود. اگر ریسک ورود کاربر زیاد باشد، مراحل احراز هویت بیشتر شده و از کاربر نوع دیگری از احراز هویت درخواست می‌شود.

بنابراین به جای استفاده از از خط‌مشی‌های سفت و سخت که بر روی هر دستگاه و کاربر به‌طور بی‌رویه اعمال می‌شوند، می‌توان از این راه حل استفاده کرد. به این ترتیب مراحل طولانی و خسته‌کنننده‌ی احراز هویت حذف می‌شود.

از آنجایی که ریسک عامل تعیین کننده برای تعیین سهولت ورود کاربر است، احراز هویت تطبیقی به عنوان احراز هویت مبتنی بر ریسک نیز نامیده می‌شود. احراز هویت تطبیقی نه تنها می‌تواند تجربه کاربری را بهبود بخشد، بلکه می‌تواند امنیت را نیز افزایش دهد.

در ادامه با ما همراه باشید تا بیشتر درباره این روش احراز هویت صحبت کنیم.

احراز هویت تطبیقی چطور کار می‌کند؟

همانطور که بالاتر اشاره کردیم، احراز هویت تطبیقی نوعی از احراز هویت چند عاملی است که می‌تواند به گونه‌ای پیکربندی و اجرا شود که سیستم ارائه‌دهنده خدمات هویتی (IDP) بسته به مشخصات ریسک و رفتار کاربر، فاکتورهای احراز هویت چندگانه (بیومتریک، کدهای پیام کوتاه، رمزهای عبور یک بار مصرف و …) مناسب او را انتخاب کند.

درواقع این کار به معنای تطبیق نوع احراز هویت با شرایط است. این فرآیند تنها در زمان ورود به سیستم انجام نمی‌شود، بلکه کاربر در طول یک نشست، به صورت مداوم ارزیابی می‌شود.

برای تعیین ریسک نیز چند عامل مختلف تجزیه و تحلیل می‌شوند و تعیین می‌کنند که آیا یک کاربر خاص در این نشست، ریسک بالایی دارد یا نه. سپس نوع احراز هویت و سطح دسترسی را بر اساس تنظیمات انجام شده انتخاب می‌کند.

به عنوان مثال، اگر خطری بر اساس رفتار کاربر، نوع دستگاه یا عامل دیگری وجود داشته باشد، سیستم می‌تواند نظارت بر فعالیت را آغاز کند. مثلا وقتی کاربران از دستگاه‌هایی که توسط شرکت مدیریت نمی‌شوند وارد سیستم می‌شوند، ممکن است نتوانند به عملکردهای کپی/پیست دسترسی داشته باشند یا در مواردی با خطر بالاتر، ممکن است عملکرد اسکرین‌شات یا قابلیت استفاده از USB دستگاه کاربر نیز غیر فعال شود.

به صورت بسته به قابلیت‌های IDP سه راه برای پیکربندی احراز هویت تطبیقی وجود دارد:

• می‌توان خط‌مشی‌های ثابتی را تعیین کرد که سطوح ریسک را برای عوامل مختلف، مانند نقش کاربر، اهمیت منبع، مکان، ساعت یا روز هفته تعیین می‌کند.
• این سیستم می‌تواند فعالیت‌های معمولی کاربران را بر اساس گرایش‌های آن‌ها در طول زمان یاد بگیرد.
• ترکیبی از هر دو روش.

در رادامه بیشتر راجع به تعیین سطح ریسک با استفاده از یادگیری ماشین صحبت خواهیم کرد.

احراز هویت مبتنی بر ریسک و یادگیری ماشین

همانطور که بالاتر اشاره کردیم، این سیستم می‌تواند فعالیت‌های معمولی کاربران را بر اساس گرایش‌های آن‌ها در طول زمان یاد بگیرد. زمانی که صحبت از یادگیری می‌شود، بدون شک باید از یادگیری ماشین صحبت کرد.

اکثر پیشنهاداتی که احراز هویت مبتنی بر ریسک ارائه می‌دهد، با کمک یادگیری ماشین است. الگوریتم‌های یادگیری ماشین، الگوهای ورود کاربر را در طول زمان بررسی می‌کنند و از آن‌ها برای ایجاد پروفایل الگوی ورود مخصوص به هر کاربر استفاده می‌کنند. در این ارزیابی ممکن است نوع دستگاه، زمان معمول ورود کاربر یا مکان‌هایی که کاربر عموما از آن‌جا وارد می‌شود، مورد توجه قرار بگیرند.

چرا سازمان‌ها باید از احراز هویت تطبیقی استفاده کنند؟

اجرای سیاست‌های احراز هویت تطبیقی بخشی از رویکرد zero trust security است. این بدان معناست که کاربران و دستگاه‌های آن‌ها، فقط به این دلیل که توانسته‌اند با اطلاعات صحیح (مانند نام کاربری و رمز عبور) وارد سیستم شوند، به طور خودکار به منابع شبکه یا داده‌های شرکت دسترسی پیدا نمی‌کنند. در عوض، وضعیت امنیتی آن‌ها همیشه ارزیابی و تأیید می‌شود.

با توجه به دنیای تهدیدات امنیتی که شرکت‌های امروزی با آن مواجه هستند، استراتژی‌های zero trust security نقش مهمی برای کسب‌وکارها ایفا می‌کنند.

احتمال لو رفتن اطلاعات مهم و حملات امنیتی همیشه وجود دارد؛ اعتبار یک کاربر ممکن است از طریق یک حمله فیشینگ هدفدار به خطر بیفتد، یک دستگاه تلفن همراه ممکن است در معرض خطر قرار گیرد، گم شود یا به سرقت برود، یا یک شبکه Wi-Fi خانگی یا تجاری در معرض خطر قرار بگیرد. همه‌ی این‌ها نیاز به یک استراتژی امنیتی مطمئن دارند.

همچنین سازمان‌ها می‌توانند احراز هویت تطبیقی را با روش‌های Single sign-on (SSO) ترکیب کنند. این بدان معناست که کاربران می‌توانند با یک مجموعه از اعتبارنامه‌های احراز هویت وارد همه‌ی برنامه‌های شرکتی شوند.

SSO یک قابلیت احراز هویت است که به کاربران این امکان را می‌دهد تا با یک مجموعه از اعتبارنامه‌های ورود، به چندین برنامه دسترسی داشته باشند. شرکت‌ها معمولاً از احراز هویت SSOبرای ارائه دسترسی ساده‌تر به برنامه‌های کاربردی وب، داخلی و ابری و به منظور تجربه کاربری بهتر استفاده می‌کنند.