احراز هویت چند عاملی تطبیقی روشی برای استفاده از اطلاعات زمینهای و قوانین تجاری است که توسط آن میتوان تعیین کرد که کدام مراحل احراز هویت باید برای یک کاربر خاص در یک موقعیت خاص استفاده شود.
کسب و کارها از احراز هویت تطبیقی برای ایجاد تعادل بین الزامات امنیتی و تجربه کاربری استفاده میکنند. احراز هویت تطبیقی معمولا همراه با راهکارهای احراز هویت چند عاملی (MFA) و ورود یک مرحلهای استفاده میشود.
راهکارهای احراز هویت تطبیقی میتوانند روشهای احراز هویت را بر اساس طیف گستردهای از عوامل زمینهای زیر افزایش یا کاهش دهند:
- عدم موفقیت در ورودهای متوالی
- حساب کاربری
- موقعیت جغرافیایی
- سرعت جغرافیایی (فاصله فیزیکی بین تلاشهای متوالی برای ورود به سیستم)
- عملی که برای انجام آن تلاش میشود
- نوع موجودیت (نوع دستگاه)
- دادههای اطلاعاتی مورد تهدید توسط شخص ثالث
- روز
- زمان
- سیستم عامل
- آدرس IP مبدا
- نقش کاربری
احراز هویت چند عاملی تطبیقی برای کارکنان از راه دور
به عنوان مثال، یک کارمند اطلاعاتی را در نظر بگیرید که از راه دور به برنامههای تجاری میزبان در یک مرکز داده سازمانی دسترسی دارد. گاهی اوقات کارمند از خانه و با استفاده از رایانه قابل اطمینان و اتصال به پهنای باند کار میکند.
گاهی اوقات نیز کارمند هنگام سفر با استفاده از لپ تاپ و اتصال به WiFi عمومی به شبکه سازمانی دسترسی پیدا میکند. با احراز هویت چند عاملی تطبیقی، بخش امنیتی سازمان میتواند مجموعهای از کنترلها را در زمانی که کارمند از خانه کار میکند و مجموعه دیگری از کنترلها را زمانی که کارمند در سفر کار میکند اعمال کند.
زمانی که کارمند قصد دارد برای اولین بار از خانه وارد سیستم شود، باید یک نام کاربری و رمز عبور و همچنین یک کد پیام کوتاه یکبار مصرف مدتدار را که به تلفن همراهش ارسال میشود، وارد کند.
هنگامی که کاربر مدارک اعتباری و کد پیامکی را وارد کرد، تایید شده و مورد اطمینان واقع میشود. از این پس در سایر مواقع، کارمند میتواند از خانه (از همان آدرس IP) فقط با استفاده از نام کاربری و رمز عبور خود وارد سیستم شود.
در هنگام مسافرت (و دسترسی به شبکه سازمانی از طریق یک آدرس IP غیر قابل اعتماد)، کارمند همیشه باید به دو شکل شناسایی شود: ترکیب نام کاربری/رمز عبور و کد SMS.
در این مثال، کارمند هنگام کارکردن از خانه از دسترسی راحت و در زمان سفر، با محافظتی که به احراز هویت چند عاملی اضافه شده از کار کردن در سفر لذت میبرد.
احراز هویت چند عاملی تطبیقی برای کاربران در حال حرکت
اکثر راهکارهای احراز هویت تطبیقی از سیاستهای دقیق برای برآوردن نیازهای کسب و کارهای مختلف پشتیبانی میکنند. بعنوان نمونه، یک نرم افزار کاربردی مراقبتهای بهداشتی را در نظر بگیرید.
در این نمونه، پزشکان و پرستاران از کامپیوترهای مشترک بیمارستان برای دسترسی به پرونده الکترونیکی بیمار و سایر سیستمهای مراقبتهای بهداشتی استفاده میکنند.
در ابتدای یک شیفت، هر پزشک برای دسترسی به برنامه مراقبتهای بهداشتی خود، باید نام کاربری و رمز عبور خود را وارد کرده و شناسه مخصوص را انتخاب نماید. برای ادامه شیفت، پزشک میتواند تنها با استفاده از شناسه مخصوص خود وارد سیستم شود.
در این مثال نیز امنیت توام با راحتی برقرار است. پس از ثبت نام اولیه، پزشکان از دسترسی سریع و تنها با یکبار لمس رایانههای داخل اتاق در طول روز کاری، بهرهمند میشوند.
اگر شناسه مخصوص یک پزشک گم یا دزدیده شود، ناامنی که برای بیمارستان ایجاد میشود محدود خواهد بود (تأیید هویت تک مرحلهای در پایان شیفت به پایان میرسد و شناسه دزدیده شده فایدهای نخواهد داشت). برای کاهش این ریسک، ممکن است از پزشکان خواسته شود در طول روز و در فواصل زمانی منظم، مثلا هر 4 ساعت یکبار، نام کاربری و رمز عبور خود را مجددا وارد کنند.
احراز هویت چند عاملی تطبیقی برای عوامل مبتنی بر نقش
احراز هویت تطبیقی میتواند برای انجام مراحل مختلف احراز هویت مبتنی بر نقش نیز استفاده شود. به عنوان مثال یک پایانه نقطه فروش را در یک محیط خردهفروشی در نظر بگیرید.
یکی از همکاران فروش میتواند در ابتدای شیفت فقط با استفاده از نام کاربری و رمز عبور وارد پایانه شود. اما یک مدیر فناوری اطلاعات که برای ارتقای نرمافزار وارد سیستم میشود، باید مدرک دیگری را نیز برای امنیت بیشتر ارائه دهد.
تحلیل رفتار کاربر در احراز هویت تطبیقی
راهکارهای احراز هویت تطبیقی برتر، از هوش مصنوعی (Artificial Intelligence) و یادگیری ماشین (Machine Learning) برای تجزیه و تحلیل روندها، شناسایی فعالیتهای مشکوک و افزایش یا کاهش خودکار احراز هویت استفاده میکنند.
راهکارهای احراز هویت چند عاملی تطبیقی مبتنی بر AI، فعالیت کاربر را در طول زمان برای شناسایی الگوها، ایجاد پروفایلهای کاربر اولیه و تشخیص رفتارهای غیرعادی (تلاشها برای ورود به سیستم در ساعات غیر معمول، تلاشها برای ورود به سیستم از مکانهای غیر معمول، تلاشها برای ورود به سیستم از دستگاههای ناشناخته و غیره) نظارت میکنند.
آنها ریسک رویدادهای مشکوک را در نظر گرفته و بلافاصله فاکتورهای احراز هویت را براساس سیاستهای تعریفشده مدیریتی تنظیم میکنند. مثلا، اگر رفتار کم خطر تلقی شود، کاربر مجاز است فقط با یک نام کاربری و رمز عبور وارد سیستم شود؛ اگر رفتاری با ریسک متوسط تلقی شود، کاربر باید یک کد پیامکی نیز وارد کند و اگر رفتاری پرخطر تلقی شود، کاربر به طور کلی از دسترسی به سیستم محروم میشود.