Dicionário da Autenticação Mobile

Seu local de referência para informações sobre métodos de autenticação em aplicativos, tecnologia e novidades sobre o universo dos dispositivos móveis. 

Autenticação com Incognia

Dicionário da Autenticação Mobile

Prevenção à fraude: o que é autenticação adaptativa e quais são suas vantagens?

O que é autenticação adaptativa?

Autenticação adaptativa é o processo de autenticação de um usuário com base no nível de risco apresentado por sua tentativa de login. Um componente essencial é o uso de autenticação multifator. Normalmente, o nível de risco é avaliado automaticamente pelo primeiro método de autenticação e, se o risco de fraude for baixo, o login é autorizado. Se o risco for alto, a autenticação adicional é acionada e o usuário é solicitado a inserir um ou mais fatores extras de autenticação. Idealmente, o primeiro método de autenticação usado nesse fluxo deve apresentar baixa fricção. Desta forma, a maioria dos usuários, que são legítimos, poderão realizar seu login facilmente. Métodos de autenticação de maior fricção serão usados ​​como etapas adicionais para os usuários que foram sinalizados como de alto risco na tentativa de login.

Como o risco é o fator determinante para determinar a facilidade de login do usuário, a autenticação adaptativa também é chamada de autenticação baseada em risco. Essa abordagem de avaliação de autenticação é uma evolução da e a autenticação simples, baseada em credenciais estáticas, ou seja, que apenas combina um nome de usuário e senha. Isso se deve ao fato de, além de melhorar a experiência do usuário legítimo, também melhora a segurança da conta, uma vez que adiciona camadas de fatores adicionais, reduzindo os riscos de fraude associados às credenciais vazadas.

Métodos para implementar a autenticação adaptativa

Existem diversos métodos de autenticação adaptativa que podem ser implementados. Usualmente, o primeiro método de autenticação, qual seja, o que poderá autenticar o usuário de forma contínua, deve ser capaz de identificar caso haja alguma anomalia nas credenciais de acesso utilizadas por esse usuário ou mesmo em seu comportamento. A anomalia pode ser tanto em relação a senhas digitadas incorretamente, quanto localização diferente, novo dispositivo, ou outro tipo de comportamento, como a forma e a velocidade de digitar, que seja diferente do padrão deste usuário. 

[banner_1]

Atualmente, a localização é determinada geralmente pelo endereço IP ou através do GPS, mas, o comportamento de localização é uma forma em ascensão que combina dados WiFi, celulares e GPS para identificar comportamento padrão de localização do usuário com alto nível de precisão, em ambientes externos e internos.Se o local a partir do qual o usuário está tentando efetuar login não corresponder a outros locais identificados anteriormente, aqueles nos quais o usuário geralmente está quando em outras sessões de login, será necessária a autenticação adicional, através de aplicativo de autenticação ou outros métodos, como reconhecimento facial, por exemplo. As principais diferenças entre os métodos que utilizam tecnologia de localização e os demais são o nível de precisão e exatidão, além da resistência à técnicas de spoofing. Endereço IP e GPS podem ser facilmente forjados ou falsificados, enquanto uma tecnologia de comportamento de localização mais sofisticada não é suscetível a ataques de spoofing.

Outro cenário possível é quando um novo dispositivo é detectado no login. Pode ser o usuário legítimo autenticação a partir de um novo dispositivo ou um fraudador tentando fazer login com credenciais roubadas em um dispositivo fraudulento. Nesse caso, a autenticação adicional pode usar um sinal de reconhecimento, como o comportamento de localização, para avaliar o risco associado àquela tentativa de login. Se o usuário não somente estiver usando outro dispositivo, mas também em um local completamente diferente, que não corresponde ao padrão de comportamento de localização habitual do usuário, esta combinação pode ser sinalizada como de alto risco. Nesse caso, um segundo método de autenticação pode ser acionado, como uma notificação por push, a solicitação de um aplicativo autenticador, ou outro método que verifique o dispositivo usado anteriormente como um token de posse do usuário legítimo.

Esses são apenas dois entre muitos exemplos possíveis de combinações de métodos de autenticação para fornecer autenticação adaptativa que utiliza autenticação multifator e autenticação adicional.

Para entender mais sobre quais tipos de autenticação devem ser aplicados a cada cenário, leia o que é autenticação adicional e sua aplicação frente à autenticação multifator. 

Como a autenticação adaptativa funciona? 

A primeira coisa que deve ser feita ao determinar a adoção das soluções de autenticação baseadas em risco é definir os parâmetros aos quais os usuários serão submetidos ao efetuar login no sistema. À medida que os usuários tentam obter acesso aos sistemas, eles recebem uma pontuação de fator de risco a partir de uma avaliação de risco. Essas avaliações são importantes porque, dependendo de quais níveis elas apresentem, quais sejam, baixa, média ou alta, o usuário precisará fornecer mais informações para que aquele sistema possa autenticar sua identidade.

Autenticação e autorização são duas etapas principais na segurança de um sistema. A avaliação de risco faz parte da parte de autenticação do processo. Em qualquer solução de autenticação baseada em risco, se o primeiro método de autenticação não identificar o usuário, automaticamente esse login será classificado como de risco maior. Métodos de autenticação adicionais podem fornecer uma pontuação de risco, variando de baixa a alta.

A partir desse momento, a autorização então entra em cena para fornecer normalmente três resultados para essa tentativa de autenticação:

  • Acesso aprovado
  • Acesso negado 
  • Solicitação para envio de informações em um processo de autenticação adicional (step-up authentication)

Benefícios de utilizar soluções de autenticação adaptativa baseada em risco 

Quando se trata de autenticação adaptativa baseada em risco, há diversos benefícios associados para empresas e usuários.

Com a ameaça iminente de fraudes, uma empresa optar pela via de forçar os usuários a passar por mais etapas de autenticação. Isso pode levar à frustração pelo excesso de fricção e ao cenário de usuários que abandonam a sessão antes de concluir a transação no sistema.

Com tecnologias disponíveis atualmente, os usuários podem enfrentar muito menos fricção ou até mesmo zero fricção em seu login. Ao adaptar o método de autenticação com base no nível de risco apresentado, métodos de menor risco podem ser usados ​​inicialmente, no início do fluxo de autenticação, salvando os métodos de autenticação de maior fricção para os logins de maior risco somente. Os sinais de rede e sensores e inteligência dos dispositivos podem fornecer informações sobre o comportamento do usuário mobile, sem exigir nenhuma ação dele. Trabalhando em segundo plano, esses tipos de sinais de reconhecimento permitem uma experiência positiva para o usuário, através da qual ele pode nem perceber que está sendo autenticado continuamente. O cenário de zero fricção também pode ser acompanhado de alta segurança, pois existem muitos métodos que podem reconhecer esses usuários confiáveis, sendo os sinais dos dispositivos apenas um dos exemplos possíveis.

A autenticação baseada em risco pode fornecer taxas mais baixas de falsos positivos para empresas, o que pode resultar em crescimento de receita, pois mais usuários têm uma experiência positiva e concluem mais transações. Além disso, uma abordagem de autenticação adaptativa pode resultar em maior proteção às tentativas de fraudes.