Entry № 1052
基于风险的认证 (RBA)
基于风险的认证 (RBA) 是什么?
基于风险的认证 (RBA)一种为每次登录实时计算风险分数,并据此决定放行、挑战或拒绝的认证策略。
基于风险的认证使用上下文信号(设备指纹、IP 信誉、ASN、地理位置、时间、用户历史行为、威胁情报和已泄露凭据)为每次尝试评分。低风险尝试可仅凭 passkey 或密码通过;中等风险触发 MFA 或 step-up;高风险被拒绝或隔离。Microsoft Entra ID Protection、Okta ThreatInsight、Ping Risk Engine、IBM Trusteer Pinpoint、Auth0 Adaptive MFA 都实现了 RBA。NIST SP 800-63B 支持依据风险选择认证器,自 Williamson 在 2007 年发表《Enhanced Authentication in Online Banking》以来,该方向逐渐成熟。有效的 RBA 应结合有监督模型与可解释规则,便于审计和运营团队复核每一项决策。
● 示例
- 01
Entra ID Protection 仅在登录风险为中或高时升级到 MFA。
- 02
银行网站在新设备加上高风险 IP 时拒绝登录。
● 常见问题
基于风险的认证 (RBA) 是什么?
一种为每次登录实时计算风险分数,并据此决定放行、挑战或拒绝的认证策略。 它属于网络安全的 身份与访问 分类。
基于风险的认证 (RBA) 是什么意思?
一种为每次登录实时计算风险分数,并据此决定放行、挑战或拒绝的认证策略。
如何防御 基于风险的认证 (RBA)?
针对 基于风险的认证 (RBA) 的防御通常结合技术控制与运营实践,详见上方完整定义。
基于风险的认证 (RBA) 还有哪些其他名称?
常见的别称包括: RBA, 风险感知认证。