擴展用例

不是所有登錄嘗試都能找出可疑人員，這就是為什么基于風險的身份驗證不應該局限于登錄請求的原因。其它高風險交易(例如涉及轉賬的銀行用例或者變更通知)都應該進行額外的審查。在企業(yè)設置中，與簡單地訪問電子郵箱賬戶相比，訪問敏感的銷售或者財務數據或應用意味著更高的風險，因此，基于風險的身份驗證系統可以被配置為要求用戶提供額外的用戶信息。

通常對于web應用，web設計人員只要求對高風險交易進行基于風險的身份驗證。允許攻擊者登錄系統和查看基礎數據并不是高風險威脅，但讓攻擊者取錢或者關閉服務將會給企業(yè)帶來負面影響。這種方法也只會給大多數web用戶的操作帶來最小的影響，因為他們在99%的用例中只是想查看信息。這種方式中，只有1%的網站交互需要多因素身份驗證。

為了更進一步擴展這個用例，通過利用設備和用戶數據(例如行為)，我們可以結合來源風險和交易風險來建立一個矩陣，以簡化身份驗證過程。設備標識數據可自動檢測新計算機是否在嘗試登陸，而網站上的用戶行為歷史可以表明這是否是同一個人--這具有某種程度的精確性。這是使用導航模式和計時來實現的。如果用戶始終使用相同的URL或者點擊路徑來進入高風險交易，這通常需要3到6秒來實現，那么，當攻擊者直接訪問高風險交易頁面，并只在兩秒內完成，這種時間偏差通常表明存在異常情況以及更大的風險，企業(yè)應該采取相應的措施。

供應商和部署

RSA(EMC公司的安全公司)、CA Technologies、Entrust等供應商已經將基于風險或者自適應身份驗證提升到一個全新的水平，具有簡單、直觀的一體化進程。通過整合該技術到網站、應用和企業(yè)使用的身份驗證套件中，該技術可以通過監(jiān)控行為和活動來為用戶創(chuàng)建資料文件。當每個用戶登錄、瀏覽網站、訪問企業(yè)系統或者請求數據時，集成的自適應身份驗證系統會記錄用戶的行為，這樣，系統就可以將其行為和關于其會話的其他細節(jié)信息與未來會話進行比較。如果在用戶會話中，一個重要風險指標發(fā)生變化，這可以是一個線索，系統可以請求進一步身份驗證細節(jié)。

Gartner公司預測，到2015年，在企業(yè)對企業(yè)和企業(yè)對企業(yè)用戶身份驗證部署中，30%的部署將會加入自適應訪問控制功能。通過結合最新的雙因素和多因素身份驗證技術與用戶和設備數據追蹤，基于風險的身份驗證技術可以幫助企業(yè)保護敏感系統數據，同時盡可能地確保更好的用戶體驗。