单用户证书不再可信NuData通过查找打字速度等特征构建剖面
每周通讯即IT最佳做法提供该栏目点击在此订阅.
社会网站LinkedIn于2012年发生数据破解事件,用户名/密码组合失窃四年后, 2016年, 至少有1.17亿套证书 破解在线购买MySpace遭受类似数据破解, 数年后4.27亿套证书贴上网
这些事件促使没有数据破解的电子商务公司敦促客户尽快修改密码
亚马逊和Netflix不泄露客户证书,仅仅因为人们常复用用户名和密码多网站, 这些电子商务公司并不想看到客户帐户欺诈增加
TeleSign显示73%在线账号由重复或复用密码看守47%的人使用至少5年的密码,当网络上发现旧的失窃证书时使他们脆弱
失窃证书的使用最近是一个关键问题,对电子商务公司和金融机构来说尤其如此,因为它们的欺诈率正在上升。使用John Doe用户名和密码的人登录在线银行应用时, 银行怎么能确定它真的是John Doe登录, 而不是从黑网购买证书的人?二次认证肯定有帮助,但许多企业由于不便因素对客户强制多因子认证犹豫不决
向用户验证网络和本地移动应用提供独特方法的一个供应商NuData安全.公司专门区分数字世界中人与人,使客户对使用John Doe证书者是否真为合法John Doe产生信心
当有人与Web或移动应用-例如登录、开新帐户、购买或进行金融交易-后台公司需要不仅仅是证书数据来建立用户身份的信心NuData监视用户多层建构剖面图与用户身份关联
用户身份与程序重复交互作用,NuData使用解析法判定它是否每次动作后都是同一个人,或另一个人现在使用账户所有这一切都实时完成,NuData可及时向程序所有者提供信任评分,以挑战某个滥用合法用户身份者登录或其他活动
NuData解决方案称为NuServet,在客户网络或本地移动应用环境实施web环境使用JavaScript,移动应用使用软件开发包都完全应用没有什么可下载或安装端用户设备
面向每个用户创建受保护应用账户的NuServegy构建基于多维的剖面图,包括行为分析、被动行为生物识别学、设备存取情报创建并使用用户剖面对用户透明化,而用户本身即为安全解决的一部分攻击者若不知道用户账号剖析法,
比较有趣的维度之一是被动行为生物测定关乎个人与设备交互正因如此,NuData为用户账号使用的每一类设备构建剖面图个人电脑、平板机或智能手机
个人键盘使用方式类型速度和偏差是什么?使用触摸板或轨迹球似乎是左手还是右手移动设备剖面包括人如何空间持有设备与人过去持有设备的方式相同吗人指图屏幕那种属性相当个人化 攻击者模拟会很难甚至不可能
NuData差异器是它整合所有这些属性的能力 关于人与设备交互作用帮助为特定用户构建剖面图,并显示用户通常如何与程序交互作用NuData可观察概率,即它同用用户和他们每次返回时以同样方式交互NuData能力不单表示数据点正确,行为正确,但用户输入验证细节 — — 用户名和密码 — — 的方式看来实际上与输入数据点的机器的另一端同为人。
如果用户名和密码正确,但输入剖面图不同,比它高概率确定它高,它是一个不同的人试图与该账号交互作用
实战之道当某人使用现有用户标识访问应用时,NuData实时分析剖析属性毫秒内NuData向程序所有者提供置信分数,表示用户为合法账号持有者的可能性概率低时程序所有者可采取各种动作请求二表认证登录,例如输入寄送注册用户手机或邮件的代码在某些情况下,程序所有者可能选择阻塞登录或拒绝可能导致欺诈事件的交易
NuData可直接向SIEM提交分析结果这使信息成为应用所有者使用大安全数据的一部分
NuServed解决方案使用机器学习持续完善用户简介帮助收集合法用户属性可能变换举个例子,如果人伤害手型或持有智能手机不同万一所有其他属性都按存储剖面图运行,解决方案可用新特征对剖面图适配
用户证书本身不再可信NuData为在线和移动应用身份验证过程添加许多其他不可置信维度