Step-Up аутентификация
Что такое Step-Up аутентификация?
Step-Up аутентификацияШаблон, требующий дополнительных или более сильных факторов, когда пользователь выполняет операцию с большим риском, чем разрешает текущая сессия.
Step-Up аутентификация добавляет трение только тогда, когда это нужно. Пользователь однажды входит обычными учётными данными, а при запросе чувствительной операции — переводе средств, смене резервного email, просмотре PII, входе в админ-панель — relying party требует свежее, более сильное подтверждение. NIST SP 800-63B и параметры acr_values / max_age OpenID Connect формализуют это: приложение может запрашивать конкретный Authentication Context Class Reference или требовать повторную аутентификацию в течение N секунд. Реализации обычно повторно проверяют passkey, TOTP-код, аппаратный ключ или биометрию непосредственно перед привилегированной операцией. Шаблон сохраняет удобство для обычной работы и защищает дорогостоящие транзакции.
● Примеры
- 01
Банковское приложение требует касания аппаратного ключа перед подтверждением перевода свыше 5 000 EUR.
- 02
Sudo-режим GitHub, повторно запрашивающий passkey перед удалением репозитория.
● Частые вопросы
Что такое Step-Up аутентификация?
Шаблон, требующий дополнительных или более сильных факторов, когда пользователь выполняет операцию с большим риском, чем разрешает текущая сессия. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Step-Up аутентификация?
Шаблон, требующий дополнительных или более сильных факторов, когда пользователь выполняет операцию с большим риском, чем разрешает текущая сессия.
Как работает Step-Up аутентификация?
Step-Up аутентификация добавляет трение только тогда, когда это нужно. Пользователь однажды входит обычными учётными данными, а при запросе чувствительной операции — переводе средств, смене резервного email, просмотре PII, входе в админ-панель — relying party требует свежее, более сильное подтверждение. NIST SP 800-63B и параметры acr_values / max_age OpenID Connect формализуют это: приложение может запрашивать конкретный Authentication Context Class Reference или требовать повторную аутентификацию в течение N секунд. Реализации обычно повторно проверяют passkey, TOTP-код, аппаратный ключ или биометрию непосредственно перед привилегированной операцией. Шаблон сохраняет удобство для обычной работы и защищает дорогостоящие транзакции.
Как защититься от Step-Up аутентификация?
Защита от Step-Up аутентификация обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Step-Up аутентификация?
Распространённые альтернативные названия: Повторная аутентификация, Транзакционная аутентификация, Step-Up MFA.
● Связанные термины
- identity-access№ 708
Многофакторная аутентификация (MFA)
Метод аутентификации, при котором перед предоставлением доступа требуется два и более независимых фактора, обычно из разных категорий.
- identity-access№ 015
Адаптивная аутентификация
Подход к аутентификации, который в реальном времени меняет силу и число требуемых факторов на основе сигналов: устройства, локации, поведения.
- identity-access№ 940
Аутентификация на основе риска (RBA)
Стратегия аутентификации, при которой для каждого входа вычисляется оценка риска и в зависимости от неё применяется разрешение, дополнительная проверка или блокировка.
- identity-access№ 216
Непрерывная аутентификация
Подход, при котором подлинность пользователя проверяется на протяжении всей сессии по поведенческим и устройственным сигналам, а не только при входе.
- identity-access№ 793
Passkey
Устойчивые к фишингу учётные данные FIDO2/WebAuthn — асимметричная пара ключей, привязанная к устройству или синхронизируемая, заменяющая пароль криптографическим вызов-ответом.
- identity-access№ 760
OpenID Connect (OIDC)
Слой идентификации поверх OAuth 2.0, позволяющий клиентам проверять подлинность пользователя и получать базовые сведения о профиле через подписанные ID-токены.