O processo de autenticação forte conta com diferentes tipos de fatores que devem ser combinados entre si, servindo tanto para uma experiência agradável, ou seja, um processo de autenticação sem fricção ao usuário, quanto para a segurança dos dados sensíveis. Mas como deve ser realizada a calibração do score de risco dos usuários que acessam o sistema?

O Risk Based Authentication (RBA) utiliza diversos fatores para permitir que o usuário acesse ou não o sistema. Veja o seguinte cenário.

Fatores de autenticação:

  • ID do usuário;
  • Senha;
  • Familiaridade do dispositivo (reconhecimento do dispositivo pela organização);
  • Geolocalização;
  • Endereço IP;
  • Tendências de Login (horário de acesso ao sistema);
  • Contexto de uso (está acessando o conteúdo apropriado para sua posição?).

Cada um desses fatores será calibrado de acordo com os requisitos da organização. Assim, diferentes usuários terão o acesso autenticado ou não, dependendo da pontuação obtida nesses fatores. Por exemplo:

Usuário 1: agiu de acordo com todos os fatores de autenticação, não há empecilhos para seu acesso ao sistema.

Usuário 2: ID de usuário, senha, familiaridade do dispositivo, endereço IP e contexto de uso apropriado, localização e horário de acesso impróprios. Nesse caso, é provável que o acesso seja liberado.

Usuário 3: familiaridade do dispositivo, localização e contexto de uso duvidosos, horário de acesso impróprio. Usuário com alta pontuação e não autenticado. Logo, recebe uma solicitação para informar um outro modo de autenticação, com objetivo de evitar acesso de fraudadores.

O que ocorre é que cada um dos fatores deve ser calibrado cuidadosamente, de acordo com a política de segurança da empresa. Assim, podem ser adicionados novos fatores e configura-se a relevância devida a cada um deles, com isso o sistema contabiliza e aprova os usuários de melhor comportamento.

Outro aspecto relevante, é a continuidade de avaliação do score de risco após o acesso, presente em algumas soluções com RBA, esse processo coleta o comportamento e armazena dados sobre o usuário. Dessa forma, mesmo que um usuário suspeito tenha conseguido passar pela barreira de entrada ele pode ser retirado do sistema.

A pontuação atingida pelos usuários também deve ser armazenada, assim, mesmo que tenham passado pela autenticação e o uso tenha sido adequado, é possível monitorar comportamentos impróprios distintos.

O módulo Authfy Risk realiza todo o processo de análise de comportamento do usuário. Com o objetivo de propor a estratégia Passworlless, o Risk valida a autenticidade do acesso de acordo com o comportamento do usuário, baseado em um acesso sem fricção, porém seguro.

Fernando Oliveira

Fundador e Head de Inovação na IDEssentials e SEC4YOU.