O processo de autenticação forte conta com diferentes tipos de fatores que devem ser combinados entre si, e assim, promover uma experiência digital agradável. Isso é o que chamamos de score de risco.

Ou seja, promover um processo de autenticação sem fricção ao consumidor e ainda assim com a segurança dos dados sensíveis. Mas como deve ser realizada a calibração do score de risco dos indivíduos que acessam o sistema?

O Risk Based Authentication (RBA) utiliza diversos fatores para permitir que o consumidor acesse ou não o sistema. Veja o cenário abaixo.

Fatores de autenticação:

  • ID do usuário;
  • senha;
  • familiaridade do dispositivo (reconhecimento do dispositivo pela organização);
  • geolocalização;
  • endereço IP;
  • tendências de login (horário de acesso ao sistema);
  • contexto de uso (está acessando o conteúdo apropriado para sua posição?).

Situações para o score de risco

Cada um dos fatores será calibrado de acordo com os requisitos da organização. Assim, diferentes indivíduos terão o acesso autenticado ou não, dependendo da pontuação obtida nesses fatores, ou seja, do score de risco. Veja alguns exemplos!

  • Situação 1: o consumidor agiu de acordo com todos os fatores de autenticação, não há empecilhos para seu acesso ao sistema;
  • Situação 2: ID de usuário, senha, familiaridade do dispositivo, endereço IP e contexto de uso apropriado, localização e horário de acesso impróprios. Nesse caso, é provável que o acesso seja liberado;
  • Situação 3: familiaridade do dispositivo, localização e contexto de uso duvidosos, horário de acesso impróprio. Sendo assim, o indivíduo tem score de risco alto e não é autenticado. Logo, recebe uma solicitação para informar um outro modo de autenticação, com objetivo de evitar acesso de fraudadores.

O que ocorre é que cada um dos fatores deve ser calibrado cuidadosamente, de acordo com a política de segurança da empresa. Assim, é possível adicionar novos fatores e configurar a relevância de cada um deles, com isso, o sistema contabiliza e aprova os consumidores de melhor comportamento.

Outro aspecto relevante, é a continuidade de avaliação do score de risco após o acesso, presente em algumas soluções com RBA, esse processo coleta o comportamento e armazena dados sobre o consumidor. Dessa forma, mesmo que um indivíduo suspeito tenha passado pela barreira de entrada, ele pode ser retirado do sistema.

Além disso, deve-se armazenar a pontuação do score de risco do consumidor. Assim, é possível monitorar comportamentos impróprios, mesmo que o consumidor tenha o acesso liberado e o uso adequado.