被动认证

什么是被动身份验证？

被动认证 是一种无摩擦的安全机制，通过实时分析数据和行为来验证用户的身份，无需用户主动输入密码、提供生物识别或完成其他验证步骤。这种方法依赖于人工智能 (AI)、机器学习 (ML) 和数据分析等技术来评估设备指纹、地理位置、IP 地址和行为生物识别（例如打字速度或鼠标移动）等信号。

‍

这种形式的身份验证旨在通过减少验证过程中的摩擦来改善用户体验，同时保持强大的防欺诈能力。它通常用于银行、电子商务和数字平台等行业，在这些行业中，平衡安全性和便利性至关重要。

‍

被动身份验证是如何工作的？

数据收集

• 在用户交互期间，被动身份验证会在后台静默地收集数据。关键数据点包括：
  • 设备信息： 设备 ID、浏览器类型、操作系统和已安装的应用程序。
  • 行为生物识别： 键入图案、滑动手势、鼠标移动和触摸压力。
  • 上下文数据： 地理位置、IP 地址和一天中的时间。

模式分析

• 机器学习模型分析收集的数据并将其与用户的历史行为进行比较，以确定当前会话是否符合预期模式。

• 例如，如果用户通常从一个位置的特定设备登录，但尝试从不同的设备和位置登录，则会触发风险标志。

风险评分

• 系统根据观察到的行为与用户的基准概况的匹配程度来分配风险评分。低风险会话可以无缝进行，而高风险会话可能需要额外的验证（例如，多因素身份验证）。

身份验证决定

• 如果风险评分可接受，则用户将在不中断的情况下进行身份验证。

• 如果检测到异常，则会话可能会被阻止、标记为待审核或重定向到有效的身份验证机制。

‍

用例

合法场景（采用被动身份验证）

• 银行平台： 在网上银行会话或交易期间验证用户，无需OTP或密码。

• 电子商务平台： 通过在结账时识别他们的设备和行为模式，对回头客进行身份验证。

• 企业安全系统： 通过分析员工的交互模式，允许员工无缝访问内部系统。

欺诈性用例

• 会话劫持漏洞： 欺诈者可能试图模仿合法用户的行为以绕过被动身份验证系统。

• 设备欺骗： 攻击者复制设备或网络指纹以显得合法。

• 行为模式模拟： 使用高级机器人或被盗数据来模仿用户行为，例如打字速度或鼠标移动。

‍

对企业的影响

积极影响

• 改善了用户体验： 通过消除频繁的身份验证提示，减少合法用户的阻力。

• 增强的欺诈检测： 将实时行为分析与情境数据相结合，以识别复杂的欺诈企图。

• 成本效率： 减少对传统验证方法（如 OTP）的依赖，这可能会产生运营成本。

• 监管合规性： 通过实施自适应身份验证措施，帮助企业遵守安全要求，例如PSD2的强客户身份验证 (SCA)。

负面影响

• 误报： 如果合法用户的行为与其既定模式不同，则可能会对其进行标记，从而导致不必要的身份验证提示或帐户封锁。

• 高昂的实施成本： 部署被动身份验证系统需要先进的 AI/ML 基础架构和熟练的监控和维护资源。

• 欺诈适应风险： 老练的欺诈者可能会改进其技术，以模拟用户行为并绕过被动身份验证。

声誉损害

• 客户信任问题： 错误分类或身份验证错误会使用户感到沮丧，破坏对企业的信任。

• 安全感知： 过度依赖被动方法可能被认为不够安全，尤其是在处理敏感数据的行业中。