基于风险的认证 (RBA)
基于风险的认证 (RBA) 是什么?
基于风险的认证 (RBA)一种为每次登录实时计算风险分数,并据此决定放行、挑战或拒绝的认证策略。
基于风险的认证使用上下文信号(设备指纹、IP 信誉、ASN、地理位置、时间、用户历史行为、威胁情报和已泄露凭据)为每次尝试评分。低风险尝试可仅凭 passkey 或密码通过;中等风险触发 MFA 或 step-up;高风险被拒绝或隔离。Microsoft Entra ID Protection、Okta ThreatInsight、Ping Risk Engine、IBM Trusteer Pinpoint、Auth0 Adaptive MFA 都实现了 RBA。NIST SP 800-63B 支持依据风险选择认证器,自 Williamson 在 2007 年发表《Enhanced Authentication in Online Banking》以来,该方向逐渐成熟。有效的 RBA 应结合有监督模型与可解释规则,便于审计和运营团队复核每一项决策。
● 示例
- 01
Entra ID Protection 仅在登录风险为中或高时升级到 MFA。
- 02
银行网站在新设备加上高风险 IP 时拒绝登录。
● 常见问题
基于风险的认证 (RBA) 是什么?
一种为每次登录实时计算风险分数,并据此决定放行、挑战或拒绝的认证策略。 它属于网络安全的 身份与访问 分类。
基于风险的认证 (RBA) 是什么意思?
一种为每次登录实时计算风险分数,并据此决定放行、挑战或拒绝的认证策略。
基于风险的认证 (RBA) 是如何工作的?
基于风险的认证使用上下文信号(设备指纹、IP 信誉、ASN、地理位置、时间、用户历史行为、威胁情报和已泄露凭据)为每次尝试评分。低风险尝试可仅凭 passkey 或密码通过;中等风险触发 MFA 或 step-up;高风险被拒绝或隔离。Microsoft Entra ID Protection、Okta ThreatInsight、Ping Risk Engine、IBM Trusteer Pinpoint、Auth0 Adaptive MFA 都实现了 RBA。NIST SP 800-63B 支持依据风险选择认证器,自 Williamson 在 2007 年发表《Enhanced Authentication in Online Banking》以来,该方向逐渐成熟。有效的 RBA 应结合有监督模型与可解释规则,便于审计和运营团队复核每一项决策。
如何防御 基于风险的认证 (RBA)?
针对 基于风险的认证 (RBA) 的防御通常结合技术控制与运营实践,详见上方完整定义。
基于风险的认证 (RBA) 还有哪些其他名称?
常见的别称包括: RBA, 风险感知认证。
● 相关术语
- identity-access№ 015
自适应认证
一种根据设备、位置、行为等信号在实时变化的身份认证方式,会动态调整所需的认证因素强度和数量。
- identity-access№ 1103
分级提升认证 (Step-Up)
一种在用户执行比当前会话原本被授权的更高风险操作时,要求附加或更强认证因素的模式。
- identity-access№ 216
持续认证
一种在整个会话期间持续利用行为与设备信号验证用户身份的认证方式,而非仅在登录时进行一次性认证。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
- identity-access№ 519
不可能旅行检测
检测同一身份连续登录的地理位置是否在两次时间间隔内无法以合理方式抵达的安全机制。
- defense-ops№ 1189
UEBA(用户与实体行为分析)
一种检测技术,通过为用户和实体建立正常行为基线,利用统计或机器学习识别可能预示入侵或内部威胁的异常。
● 参见
- № 009账户锁定