勉強前イメージ
リスクを承知で認証する?
そんなことないか
調査
リスクベース認証 とは
英語では Adaptive Authentication と書き、なりすましによる不正アクセス対策に有効とされている認証方法になります。
通常のログインはIDとパスワードで認証されるのが一般的です。
しかし、どちらも流出する可能性がありその際には他の第三者がログイン可能になってしまいます。
その際にも不正にログインされないようになりすまし対策として強化するの手段の一つとしてリスクベース認証があります。
リスクベース認証では、認証時にヘッダやクッキーなどの情報を取得し、いつもと違う環境からのアクセスだと追加の認証をユーザに提示します。
イメージでは以下になります。
通常では国内からアクセスされてるが、今回は海外からアクセスされた際には別途他の認証方法(ワンタイムパスワード等)での認証も行います。
リスクベースでの認証の要素
- IPアドレス
- 位置情報
- 時間帯
- 登録しているデバイス
- 過去認証に成功したデバイス
- 不可能な移動
- OS・ブラウザの種類
上記のような要素で追加での認証を行うかを決めます。
特に不可能な移動というのが、前回アクセスした時刻と場所から不可能な移動を検知した際には追加での認証をする場合があります。
リスクベース認証のメリデメ
- メリット
- なりすましの防御 : 悪意のある第三者にログインされそうな際は別の認証方法を用いて不正ログインを回避させられる
- ユーザの負担が少ない : 通常と同様のログインであればユーザは他の認証方法を行う必要がない
- デメリット
- 導入コストがかかる : 別で認証を行う判断をする情報を取得・管理する必要があるためよりセキュアにはなりますがコストがかかります。
勉強後イメージ
ネットバンキングとかよりセキュアな環境が求められるシステムに導入が多いらしい