自适应认证
自适应认证 是什么?
自适应认证一种根据设备、位置、行为等信号在实时变化的身份认证方式,会动态调整所需的认证因素强度和数量。
自适应认证在登录和会话期间根据上下文信号决定向用户要求哪些凭据。常见输入包括设备健康状态、IP 信誉、地理位置、网络类型、时间、历史行为和威胁情报订阅。NIST SP 800-63C 介绍了如何将保证级别与这些信号结合,Microsoft Entra 条件访问、Okta、Ping Identity、Cisco Duo 等产品则通过策略引擎和风险评分实现该模式。低风险场景(已管控设备从公司网络登录)可仅用 passkey 通过;较高风险(新设备、匿名代理、异常时间)则升级到 MFA、阻断或隔离。自适应认证是零信任访问策略的基础。
● 示例
- 01
Entra 条件访问仅在用户从公司网络以外登录时要求 MFA。
- 02
Okta 策略无论密码是否正确,都拒绝来自 Tor 匿名出口节点的登录。
● 常见问题
自适应认证 是什么?
一种根据设备、位置、行为等信号在实时变化的身份认证方式,会动态调整所需的认证因素强度和数量。 它属于网络安全的 身份与访问 分类。
自适应认证 是什么意思?
一种根据设备、位置、行为等信号在实时变化的身份认证方式,会动态调整所需的认证因素强度和数量。
自适应认证 是如何工作的?
自适应认证在登录和会话期间根据上下文信号决定向用户要求哪些凭据。常见输入包括设备健康状态、IP 信誉、地理位置、网络类型、时间、历史行为和威胁情报订阅。NIST SP 800-63C 介绍了如何将保证级别与这些信号结合,Microsoft Entra 条件访问、Okta、Ping Identity、Cisco Duo 等产品则通过策略引擎和风险评分实现该模式。低风险场景(已管控设备从公司网络登录)可仅用 passkey 通过;较高风险(新设备、匿名代理、异常时间)则升级到 MFA、阻断或隔离。自适应认证是零信任访问策略的基础。
如何防御 自适应认证?
针对 自适应认证 的防御通常结合技术控制与运营实践,详见上方完整定义。
自适应认证 还有哪些其他名称?
常见的别称包括: 自适应访问, 上下文感知认证。
● 相关术语
- identity-access№ 940
基于风险的认证 (RBA)
一种为每次登录实时计算风险分数,并据此决定放行、挑战或拒绝的认证策略。
- identity-access№ 1103
分级提升认证 (Step-Up)
一种在用户执行比当前会话原本被授权的更高风险操作时,要求附加或更强认证因素的模式。
- identity-access№ 216
持续认证
一种在整个会话期间持续利用行为与设备信号验证用户身份的认证方式,而非仅在登录时进行一次性认证。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
- identity-access№ 519
不可能旅行检测
检测同一身份连续登录的地理位置是否在两次时间间隔内无法以合理方式抵达的安全机制。
- identity-access№ 090
行为生物特征
通过分析击键节奏、鼠标轨迹、步态或触屏手势等独特用户行为,持续验证身份并发现冒用的技术。
● 参见
- № 623位置因素 (你所在的地方)
- № 1154时间因素 (身份认证)