Аутентификация, основанная на знаниях
Проверка подлинности на основе знаний (Knowledge-based authentication – KBA) – это схема аутентификации, в которой пользователю предлагается ответить хотя бы на один "секретный" вопрос. Аутентификация на основе знаний часто используется в качестве компонента в составе многофакторной аутентификации и для восстановления пароля пользователя в случае его утраты.
Хороший KBA вопрос должен отвечать следующим четырем требованиям:
- Вопрос должен быть подходящим для значительной части населения.
- Ответ должен быть чем-то, что легко запоминается.
- Вопрос должен иметь только один правильный вариант ответа.
- Необходимо, чтобы ответ невозможно было легко угадать или обнаружить с помощью исследований и детального изучения профилей социальных сетей.
KBA вопросы могут быть статическими или динамическими. Как статические, так и динамические схемы строятся на предположении, что если кто-то знает правильные ответы на вопросы KBA, то личность этого человека считается подтвержденной.
В статической схеме, конечный пользователь предварительно выбирает вопросы, которые он хотел бы задать себе в случае необходимости восстановления доступа и самостоятельно указывает правильные ответы. Пары вопрос/ответ хранятся владельцем и используются впоследствии для подтверждения личности человека. KBA вопросы могут быть основаны на фактах, примерами являются такие вопросы как «Где Вы провели свой медовый месяц?» или «Сколько домашних животных у Вас есть?», а также они могут относиться к предпочтениям, таким как «Какое Ваше любимое блюдо?» или «Кто был Вашим любимым учителем в школе?» Проблема со статическими вопросами KBA состоит в том, что если кто-то поделился этой информацией в социальных сетях, ответ на секретный вопрос будет известен или его легко будет угадать.
В динамической схеме конечный пользователь не имеет ни малейшего представления, какой вопрос будет задан. Вместо этого, пары вопрос/ответ определяются на основе данных анализа общественных записей. Примеры таких динамических KBA вопросов можно привести следующие: «Какой у Вас был почтовый адрес, когда Вам было 10 лет?» или «Какого цвета Ford Focus был зарегистрирован на вас в 2002 году?». Хотя ответы на динамические вопросы могут быть получены путем детального исследования жизни человека, для поиска ответов потребуется время – а время на ответ дается ограниченное. Если человек не отвечает на динамический вопрос в течение определенного периода времени, вопрос отбрасывается и рассматривается как неправильный ответ.
В результате такой казалось бы простой инструмент как «секретный вопрос», который Вам предлагается в качестве способа восстановления пароля к потовому ящику, становится действительно серьезной преградой для злоумышленников.