在线服务中实际风险评估的再评估:复杂性胜出
摘要:基于风险的身份验证(RBA)旨在保护终端用户免受涉及盗用或猜测密码的攻击,而不需要始终使用第二种身份验证方法。在线服务通常限定了什么是正常和非正常的,并采取相应的措施。因此,RBA监控不同的特征,如地理位置和设备在登录过程中的变化。如果特征的值与预期值不符,则可能会要求第二种身份验证方法。然而,只有少数在线服务公开其系统运作的信息。这不仅妨碍了RBA研究,而且阻碍了其在组织中的开发和应用。为了理解在线服务中RBA系统的操作方式,我们采用了黑盒测试。为了验证结果,我们重新评估了三个大型供应商:谷歌、亚马逊和Facebook。根据我们的测试设备和测试用例,我们注意到基于账户创建的谷歌RBA存在差异。此外,几个测试用例很少触发RBA系统。我们的结果为RBA系统提供了新的见解,并提出了一些未来研究的问题。
作者:Jan-Phillip Makowski and Daniela P"ohn
论文ID:2308.15156
分类:Cryptography and Security
分类简称:cs.CR
提交时间:2023-08-30