Bilgiye dayalı kimlik doğrulama - Knowledge-based authentication

Bilgiye dayalı kimlik doğrulama, genellikle şu şekilde anılır KBA, bir yöntemdir kimlik doğrulama Finans kurumu veya web sitesi gibi bir hizmete erişen birinin kimliğini kanıtlamaya çalışan. Adından da anlaşılacağı gibi, KBA şu bilgileri gerektirir: özel bilgi bireyin kimlik bilgilerini sağlayan kişinin kimliğin sahibi olduğunu kanıtlaması. İki tür KBA vardır: statik KBA, önceden kararlaştırılmış bir dizi paylaşılan sırlara dayalı olan ve dinamik KBA, daha geniş bir kişisel bilgi tabanından oluşturulan sorulara dayanmaktadır.

Statik KBA (paylaşılan sırlar)

"Paylaşılan sırlar" veya "paylaşılan gizli sorular" olarak da adlandırılan statik KBA, hesaba erişime izin vermeden önce veya geri dönüş olarak müşterinin kimliğini kanıtlamak için bankalar, finansal hizmet şirketleri ve e-posta sağlayıcıları tarafından yaygın olarak kullanılır. , kullanıcı şifresini unutursa. Bir müşteri ile ilk temas noktasında, statik KBA kullanan bir işletme, sağlayıcı ve müşteri arasında paylaşılacak bilgileri toplamalıdır - en yaygın olarak sorular ve karşılık gelen cevaplar. Bu veriler daha sonra yalnızca müşteri hesaba erişmek için geri geldiğinde alınmak üzere saklanmalıdır.

Statik ÖDA'nın zayıflığı, 2008'de bir olay eski Alaska Valisinin e-posta hesabına yetkisiz erişim elde edildiğinde Sarah Palin. Yahoo! hesabın şifresi, "eşinizle nerede tanıştınız?" dahil olmak üzere paylaşılan gizli sorular kullanılarak sıfırlanabilir. yanı sıra, yanıtları çevrimiçi olarak kolayca bulunabilen eski valinin doğum tarihi ve posta kodu.

Bazı kimlik doğrulama sağlayıcıları, sitelerin ve bilgilerin güvenliğini sağlamaya yardımcı olmak için yakın zamanda gizli sesler veya resimler tanıttı. Bu taktikler, gizli sorularla aynı veri depolama ve geri alma yöntemlerini gerektirir.

Dinamik KBA

Dinamik KBA, her bir kimliği doğrulamak için bilgi sorularını kullanan, ancak kişinin soruları ve cevapları önceden sağlamasını gerektirmeyen yüksek düzeyde bir kimlik doğrulama. Sorular, pazarlama verileri gibi herkese açık ve özel verilerden derlenir, kredi raporları veya işlem geçmişi.

Süreci başlatmak için isim, adres ve doğum tarihi gibi temel tanımlama faktörleri tüketici tarafından sağlanmalı ve bir kimlik doğrulama hizmeti. Kimlik doğrulandıktan sonra, sağlanan bireysel kimliğe karşılık gelen veri kayıtlarından gerçek zamanlı olarak sorular üretilir. Tipik olarak, soruları yanıtlamak için gereken bilgi bir kişinin cüzdanında mevcut değildir (bazı şirketler bunlara "cüzdan dışı sorular" adını verir), gerçek kimlik sahibi dışındaki herhangi birinin yanıtı bilmesini ve güvenli olanlara erişim sağlamasını zorlaştırır. bilgi. Genel olarak, yanıtların araştırılmasını önlemek için yanıt verme süresi ve girişim sayısı sınırlıdır.

Dinamik KBA, dolandırıcılığın önlenmesi ve uyumluluğa uymanın bir yolu olarak müşterilerin kimliklerini doğrulamak için birkaç farklı endüstride kullanılmaktadır. Bu tür bir KBA, bir tüketici ile mevcut bir ilişkiye dayanmadığından, işletmelere hesap oluşturma sırasında müşteri kimliği konusunda daha yüksek kimlik güvencesine sahip olmanın bir yolunu sunar.

Ayrıca bakınız

• Kimlik doğrulama hizmeti
• Cüzdan dışında

Referanslar

1. Varghese, Thomas. "Kırmızı Bayrak Uyumluluğunu Ele Alma". SC Magazine, 28 Ocak 2009. http://www.scmagazineus.com/addressing-red-flags-compliance/article/126529/. Erişim tarihi: 2009-09-15.