ES2960052T3 - Sistema y método para determinar de forma adaptativa un esquema de autenticación óptimo - Google Patents

Sistema y método para determinar de forma adaptativa un esquema de autenticación óptimo Download PDF

Info

Publication number
ES2960052T3
ES2960052T3 ES19886452T ES19886452T ES2960052T3 ES 2960052 T3 ES2960052 T3 ES 2960052T3 ES 19886452 T ES19886452 T ES 19886452T ES 19886452 T ES19886452 T ES 19886452T ES 2960052 T3 ES2960052 T3 ES 2960052T3
Authority
ES
Spain
Prior art keywords
authentication
user
probability
factor
scheme
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES19886452T
Other languages
English (en)
Inventor
Dana Levy
Ilya Dubinsky
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Source Ltd
Original Assignee
Source Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Source Ltd filed Critical Source Ltd
Application granted granted Critical
Publication of ES2960052T3 publication Critical patent/ES2960052T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/16Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/762Arrangements for image or video recognition or understanding using pattern recognition or machine learning using clustering, e.g. of similar faces in social networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/50Maintenance of biometric data or enrolment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/24Negotiation of communication capabilities

Abstract

Un método y un sistema para determinar un esquema de autenticación óptimo para un sistema de autenticación. Las realizaciones pueden incluir: recibir, desde el sistema de autenticación, una identidad de un usuario que requiere acceso al sistema de autenticación y una política del sistema de autenticación; recibir, desde un dispositivo de almacenamiento, datos que incluyen información histórica sobre intentos de autenticación anteriores por parte del usuario; producir una lista que incluye una selección óptima de uno o más esquemas de autenticación, incluyendo cada uno de ellos uno o más factores de autenticación, según la información histórica y la política del sistema de autenticación; y enviar la lista de selección de uno o más esquemas de autenticación al sistema de autenticación. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Sistema y método para determinar de forma adaptativa un esquema de autenticación óptimo
Campo de la invención
La presente invención se refiere en general a sistemas de autenticación de usuario. Más específicamente, la presente invención se refiere a un método y un sistema para determinar de forma adaptativa un esquema de autenticación óptimo.
Antecedentes de la invención
Los métodos y sistemas de autenticación disponibles comercialmente normalmente están adaptados para recibir una identificación de un usuario y autenticar o verificar la identidad proclamada del usuario para concederle acceso a los respectivos recursos y/o datos computacionales. Por ejemplo, un usuario puede identificarse por un nombre o un número de identificación (ID) en un servidor en línea (por ejemplo, un servidor de banca en línea), y el servidor puede requerir que el usuario realice diferentes pruebas o procedimientos (por ejemplo, escribir una contraseña) al objeto de poder acceder a los datos solicitados.
Los sistemas de autenticación comunes normalmente requieren que el usuario realice uno o más procedimientos de autenticación de una forma que puede ser indiferente, o estar disociada, con respecto a una variedad de propiedades, incluidas propiedades del usuario y del sistema de autenticación, y con respecto al historial de intentos de autenticación anteriores.
El documento de patente de EE. UU. n.° 9.667.611 describe unas técnicas que implican seleccionar un conjunto de factores de autenticación de entre múltiples factores en base a una situación actual y a información relativa a cómo de bien han funcionado los múltiples factores de autenticación en situaciones similares en el pasado. De esta manera, cuando un sistema de autenticación realiza una operación de autenticación en una parte solicitante, el sistema de autenticación evalúa en primer lugar un entorno de situación. En base a la evaluación del entorno de situación, el sistema de autenticación decide que es necesario volver a autenticar a la parte solicitante. En algunas configuraciones, el sistema de autenticación puede determinar qué conjunto de factores tiene la mayor probabilidad de verificar con éxito la identidad del usuario en comparación con otros factores de autenticación. A continuación, el sistema de autenticación lleva a cabo una operación de autenticación en el conjunto de factores seleccionado, y basa un resultado de autenticación exitoso en si el conjunto de factores seleccionado puede verificarse.
La publicación del documento de solicitud de patente de EE. UU. n.° 2018/0139199 describe un método y un mecanismo de autenticación. Se envía una solicitud para autenticar a un usuario de la aplicación desde un dispositivo móvil a un servidor de autenticación. El servidor de autenticación identifica un perfil de usuario para el usuario que contiene uno o más esquemas de autenticación disponibles para autenticar al usuario. Los esquemas de autenticación comprenden un esquema directo en el que el usuario proporciona una contraseña y un esquema de autenticación federado. El servidor de autenticación determina un esquema de autenticación preferido a partir de uno o más esquemas de autenticación disponibles en base a una política asociada con el perfil de usuario. El dispositivo móvil despliega un menú que muestra los esquemas de autenticación disponibles para permitir al usuario seleccionar un esquema de autenticación. El esquema de autenticación preferido se muestra delante del resto de los esquemas de autenticación. El servidor de autenticación verifica las credenciales del perfil de usuario utilizando el esquema de autenticación seleccionado para autenticar al usuario.
La publicación del documento de solicitud de patente de EE. UU. n.° 2018/0069896 describe sistemas, métodos y otras realizaciones para la detección de uso indebido de autenticación de usuario basada en datos. En una realización, para cada uno de los múltiples intentos de autenticación en un dispositivo informático por parte de un usuario a través de mensajes de registro de autenticación de usuario: se recopilan datos de registro de autenticación de usuario que tienen unos valores de atributos de usuario; los datos de registro de autenticación de usuario se transforman en una estructura de datos de seguimiento que tiene los valores de atributos de usuario organizados en un formato común; la estructura de datos de seguimiento es aumentada con datos de marca de tiempo para generar una estructura de datos de evento, en donde los datos de marca de tiempo representan un instante en el que el dispositivo informático observa los datos de registro de autenticación de usuario; un filtro de modelo de comportamiento de usuario, que representa los patrones de uso de cuenta del usuario, se actualiza basándose al menos en parte en la estructura de datos de evento. Un intento de autenticación malicioso en el dispositivo informático por parte de un usuario malintencionado se detecta basándose, al menos en parte, en el filtro de modelo de comportamiento de usuario.
El documento de patente de EE. UU. n.° 9.699.196 describe una técnica implementada por ordenador que proporciona seguridad a una empresa. La técnica implica recibir, mediante circuitos de procesamiento, información personal perteneciente a los usuarios de la empresa. La técnica implica además proporcionar, mediante los circuitos de procesamiento, unas listas de identificadores de usuario basadas en relaciones de usuario definidas por la información personal. Las listas de identificadores de usuario identifican, respectivamente, grupos de usuarios de la empresa. La técnica implica además imponer electrónicamente, mediante los circuitos de procesamiento, unas clases de seguridad a los grupos de usuarios de la empresa en base a las listas de identificadores de usuario. De esta manera, dicha clasificación se puede utilizar para la evaluación de riesgos (por ejemplo, autenticación), el filtrado de alertas (por ejemplo, filtrado de falsas alarmas) y la monitorización y/o asignación de permisos/privilegios, entre otros.
Compendio de la invención
Se desea, por lo tanto, un sistema y un método que puede seleccionar o recomendar un esquema de autenticación que puede incluir uno o más factores de autenticación para procesar la solicitud de acceso del usuario, según las propiedades del usuario (por ejemplo, un perfil de usuario y una preferencia de usuario), las propiedades del sistema de autenticación (por ejemplo, un nivel de autenticación mínimo) y según el historial de intentos de autenticación anteriores (por ejemplo, la probabilidad de autenticación exitosa en la primera vez).
Las realizaciones de la presente invención se pueden adaptar para producir o seleccionar un esquema de autenticación que pueda satisfacer una pluralidad de requisitos diferentes, y posiblemente contradictorios, por medio de un conjunto de puntuaciones ponderadas. Por ejemplo, un servidor de banca en línea puede requerir que se ejecute un número inconvenientemente grande de procedimientos de autenticación antes de conceder acceso a un usuario. De forma complementaria, el usuario puede preferir no realizar ningún procedimiento de autenticación.
Las realizaciones pueden sugerir o recomendar uno o más esquemas de autenticación de una forma que es óptima en el sentido de que el uno o más esquemas de autenticación seleccionados puedan satisfacer mejor los requisitos diferentes y posiblemente contradictorios. Con respecto al ejemplo anterior, las realizaciones pueden aplicar (por ejemplo, como parte de una política predefinida) una primera ponderación al nivel de seguridad y una segunda ponderación al nivel de conveniencia. Un esquema de autenticación seleccionado de forma óptima puede ser uno que pueda proporcionar una puntuación ponderada más alta, reduciendo de esta forma las dos consideraciones aparentemente contradictorias de seguridad y conveniencia.
Las realizaciones de la presente invención pueden incluir un método para determinar un esquema de autenticación óptimo para un sistema de autenticación. El método incluye:
recibir, desde el sistema de autenticación, una identidad de un usuario que requiere acceso al sistema de autenticación y una política del sistema de autenticación;
recibir, desde un dispositivo de almacenamiento, datos que incluyen información histórica relativa a intentos de autenticación anteriores por parte del usuario;
producir una lista que incluye una selección óptima de uno o más esquemas de autenticación, incluyendo cada uno de ellos uno o más factores de autenticación, de acuerdo con la información histórica y a la política del sistema de autenticación; y
enviar la lista de selección de uno o más esquemas de autenticación al sistema de autenticación, en donde producir la lista comprende:
recibir datos relacionados con información de perfil personal de una pluralidad de usuarios; agrupar la pluralidad de usuarios en grupos en un modelo de agrupamiento de acuerdo con la información de perfil personal recibida, en el que cada grupo está caracterizado por unos valores de parámetros de grupo específicos; producir una pluralidad de esquemas de autenticación S, en el que cada esquema de autenticación (S<i>) es una combinación única de factores de autenticación disponibles; producir una matriz de probabilidad Y, en la que cada entrada Y<i, j>representa una probabilidad de que un usuario del grupo j prefiera el esquema de autenticación S<i>y de que el usuario tenga éxito en un primer intento de autenticación; y entrenar un modelo de aprendizaje automático (ML) para predecir Y<i, j>dados unos parámetros específicos del grupo j.
Las realizaciones del método pueden incluir: presentar la lista de uno o más esquemas de autenticación por medio del sistema de autenticación al usuario; solicitar al usuario que seleccione al menos un esquema de autenticación; y almacenar la selección del usuario como una preferencia explícita de autenticación.
La política del sistema de autenticación puede incluir un nivel de autenticación requerido, al menos un factor de autenticación disponible y al menos una puntuación a priori asociada.
La política del sistema de autenticación puede incluir además al menos una ponderación de atributo, seleccionada de una lista que incluye una ponderación de atributo de probabilidad de éxito, una ponderación de atributo de conveniencia, una ponderación de atributo de riesgo y una ponderación de atributo de preferencia.
Según algunas realizaciones, la información histórica puede incluir un número de intentos de autenticación exitosos anteriores por parte del usuario para cada factor de autenticación y un número de intentos de autenticación fallidos anteriores por parte del usuario para cada factor de autenticación. La producción de una lista de esquemas de autenticación seleccionados óptimamente puede incluir calcular, para cada factor de autenticación, la probabilidad del usuario de autenticación exitosa de acuerdo con la información histórica.
Según algunas realizaciones, la información histórica relativa a intentos de autenticación anteriores por parte del usuario puede incluir al menos uno de entre: la duración de los procesos de autenticación; casos verificados de acceso fraudulento exitoso; casos verificados de intentos de acceso no autorizado fallidos; y la selección explícita de un factor de autenticación por parte del usuario.
El método incluye: recibir datos relacionados con información de perfil personal de una pluralidad de usuarios; y agrupar la pluralidad de usuarios en grupos en un modelo de agrupamiento de acuerdo con la información de perfil personal recibida, en el que cada grupo está caracterizado por unos valores de parámetros de grupo específicos.
El método incluye además: producir una pluralidad de esquemas de autenticación S, en donde cada esquema de autenticación (S<i>) es una combinación única de factores de autenticación disponibles; producir una matriz de probabilidad Y, en la que cada entrada Y<i,j>representa una probabilidad de que un usuario del grupo j prefiera el esquema de autenticación S<i>y de que el usuario tenga éxito en un primer intento de autenticación; y entrenar un modelo de aprendizaje automático (ML) para predecir Y<i, j>dados unos parámetros específicos del grupo j.
La probabilidad de que un usuario del grupo j prefiera el esquema de autenticación S<i>y de que el usuario tenga éxito en un primer intento de autenticación puede calcularse según al menos una de entre: una puntuación de preferencia explícita; una probabilidad de éxito; una puntuación de conveniencia; y una puntuación de riesgo.
Las realizaciones del método pueden incluir: recibir información de perfil personal de un usuario; atribuir una condición de miembro de un grupo del modelo de agrupamiento al usuario de acuerdo con su información de perfil personal; predecir la matriz de probabilidad Y según los valores de los parámetros del grupo de condición de miembro y según el entrenamiento del modelo ML; determinar una entrada óptima Y<i,j>para el usuario; seleccionar al menos un esquema de autenticación óptimo según la entrada óptima determinada Y<i,j>; y producir una lista que incluye el al menos un esquema de autenticación seleccionado óptimo.
Las realizaciones del método pueden incluir obtener al menos una preferencia implícita de un factor de autenticación de al menos un usuario, según la condición de miembro del usuario en un grupo.
Las realizaciones del método pueden incluir actualizar la probabilidad de autenticación exitosa de un usuario para cada factor de autenticación según la condición de miembro de grupo del usuario.
Las realizaciones del método pueden incluir actualizar la lista de uno o más esquemas de autenticación recomendados según al menos una de entre: la probabilidad actualizada de autenticación exitosa de un usuario y la obtención de al menos una preferencia implícita.
Las realizaciones de la presente invención pueden incluir un sistema para determinar un esquema de autenticación óptimo como el que se especifica en la reivindicación 12.
Breve descripción de los dibujos
La invención, tanto en lo que respecta a la organización como al método de funcionamiento, junto con los objetos, características y ventajas de la misma, puede entenderse mejor haciendo referencia a la siguiente descripción detallada, cuando ésta es leída junto con los dibujos adjuntos, en los que:
la figura 1 es un diagrama de bloques que representa un dispositivo informático que puede incluirse en un sistema para determinar de forma adaptativa un esquema de autenticación óptimo, según algunas realizaciones;
la figura 2 es un diagrama de bloques que representa un sistema para determinar de forma adaptativa un esquema de autenticación óptimo, según algunas realizaciones; y
la figura 3 es un diagrama de flujo que representa un método para determinar de forma adaptativa un esquema de autenticación óptimo, según algunas realizaciones.
Se apreciará que, por simplicidad y claridad de ilustración, los elementos mostrados en las figuras no se han dibujado necesariamente a escala. Por ejemplo, las dimensiones de algunos de los elementos pueden estar exageradas con respecto a otros elementos para mayor claridad. Además, cuando se ha considerado apropiado, los números de referencia se pueden haber repetido en las figuras para indicar elementos correspondientes o análogos.
Descripción detallada de la presente invención
En la siguiente descripción detallada, se exponen numerosos detalles específicos al objeto de proporcionar una comprensión profunda de la invención. Sin embargo, los expertos en la técnica entenderán que la presente invención se puede poner en práctica sin estos detalles específicos. En otros casos, métodos, procedimientos y componentes bien conocidos no han sido descritos en detalle a fin de no oscurecer la presente invención. Algunas características o elementos descritos con respecto a una realización pueden combinarse con características o elementos descritos con respecto a otras realizaciones. En aras de la claridad, no se repite el análisis de características o elementos iguales o similares.
A pesar de que las realizaciones de la invención no quedan limitadas a este respecto, los análisis que utilizan términos tales como, por ejemplo, "procesar", "computar", "calcular", "determinar", "establecer", "analizar", "comprobar" o similares, pueden referirse a operaciones y/o procesos de un ordenador, una plataforma informática, un sistema informático u otro dispositivo informático electrónico, que manipula y/o transforma datos representados como cantidades físicas (por ejemplo, electrónicos) dentro de los registros y/o memorias del ordenador en otros datos representados de forma similar como cantidades físicas dentro de los registros y/o memorias del ordenador u en otro medio de almacenamiento de información no transitorio que pueda almacenar unas instrucciones para llevar a cabo unas operaciones y/o procesos. A pesar de que las realizaciones de la invención no quedan limitadas a este respecto, los términos "pluralidad" y "una pluralidad", tal y como se usan en la presente memoria, pueden incluir, por ejemplo, "múltiples" o "dos o más". Los términos "pluralidad" o "una pluralidad" pueden usarse a lo largo de toda la memoria para describir dos o más componentes, dispositivos, elementos, unidades, parámetros o similares. El término conjunto, cuando se utiliza en la presente memoria, puede incluir uno o más elementos. A menos que se indique explícitamente, las realizaciones de método descritas en la presente memoria no están limitadas a un orden o secuencia particular. Además, algunas de las realizaciones de método descritas, o elementos de las mismas, pueden ocurrir o realizarse simultáneamente, en el mismo momento, o de forma concurrente.
Las realizaciones del sistema pueden estar asociadas con un sistema de autenticación (por ejemplo, un banco, una tienda en línea y similares) que puede requerir una autenticación de un usuario (por ejemplo, un ordenador cliente o un usuario del mismo) al objeto de acceder (por ejemplo, a través de una conexión en línea) a cualquier recurso computacional (por ejemplo, a un módulo de memoria) o a datos almacenados en el mismo.
Las realizaciones pueden estar configuradas para determinar de forma adaptativa uno o más esquemas de autenticación óptimos (por ejemplo, determinados por el sistema como probablemente los mejores, dadas las circunstancias) o sugeridos que pueden ser requeridos por parte del usuario, o que pueden ser requeridos para que el usuario pase, para acceder al sistema de autenticación.
La selección o determinación de uno o más esquemas puede denominarse adaptativa, como una mejora con respecto a los sistemas disponibles comercialmente que implementan métodos de autenticación, en el sentido de que puede producir resultados diferentes tras un cambio en al menos una de entre:
una propiedad o característica del perfil del usuario (por ejemplo, la ubicación de residencia del usuario, su situación financiera, su historial de intentos de autenticación anteriores, etc.);
la preferencia explícita de un usuario (por ejemplo, selección previa de esquemas o factores de autenticación realizada por el usuario);
la preferencia implícita de un usuario (por ejemplo, preferencias realizadas por usuarios similares);
una política del sistema de autenticación (por ejemplo, un nivel de seguridad mínimo requerido, disponibilidad de factores de autenticación, una puntuación a priori de cada factor de autenticación disponible, etc.);
una puntuación que se actualiza continuamente relativa a la conveniencia de utilizar cada factor de autenticación;
una puntuación que se actualiza continuamente relativa a un riesgo asociado a la utilización de un factor de autenticación; y
una puntuación que se actualiza continuamente relativa a la probabilidad de éxito en la primera vez al utilizar un factor de autenticación específico.
El esquema de autenticación puede determinarse como óptimo al satisfacer uno o más criterios de autenticación predefinidos, o una combinación de los mismos. Por ejemplo, el al menos un criterio de autenticación predefinido puede incluir:
al menos un requisito de seguridad del sistema de autenticación;
una preferencia del usuario; y
una probabilidad de autenticación exitosa por parte del usuario.
Las realizaciones pueden atribuir una ponderación a cada criterio de autenticación y seleccionar o determinar uno o más esquemas de autenticación de forma óptima, al objeto de obtener una puntuación ponderada acumulativa máxima según las ponderaciones atribuidas.
Por ejemplo, las realizaciones pueden:
obtener una puntuación para cada criterio de autenticación (por ejemplo, una probabilidad de éxito, una puntuación de riesgo y una puntuación de conveniencia);
asignar o atribuir ponderaciones respectivas a cada criterio de autenticación (por ejemplo, una ponderación de probabilidad de éxito, una ponderación de riesgo y una ponderación de conveniencia);
producir una suma ponderada acumulativa para cada esquema de autenticación de acuerdo con las puntuaciones y ponderaciones antes mencionadas; y
seleccionar al menos un esquema de autenticación óptimo (por ejemplo, en el sentido de tener la suma ponderada acumulativa máxima), tal y como se detalla en la presente memoria.
Se hace referencia ahora a la figura 1, que es un diagrama de bloques que representa un dispositivo informático, que puede incluirse dentro de una realización de un sistema para determinar de forma adaptativa una lista o conjunto (por ejemplo, uno o más) de esquemas de autenticación óptimos, según algunas realizaciones.
El dispositivo informático 1 puede incluir un controlador 2 que puede ser, por ejemplo, una unidad central de procesamiento (CPU), un chip o cualquier dispositivo informático o computacional adecuado, un sistema operativo 3, una memoria 4, un código ejecutable 5, un sistema de almacenamiento 6, unos dispositivos de entrada 7 y unos dispositivos de salida 8. El controlador 2 (o uno o más controladores o procesadores, posiblemente en múltiples unidades o dispositivos) puede estar configurado para llevar a cabo los métodos descritos en la presente memoria, y/o para ejecutar o actuar como los diferentes módulos, unidades, etc. Se puede incluir más de un dispositivo informático 1, y uno o más dispositivos informáticos 100 pueden actuar como los componentes de un sistema según las realizaciones de la invención.
El sistema operativo 3 puede ser o puede incluir cualquier segmento de código (por ejemplo, uno similar al código ejecutable 5 descrito en la presente memoria) diseñado y/o configurado para realizar tareas que implican coordinación, planificación, arbitraje, supervisión, control o cualquier otro modo de gestión del funcionamiento del dispositivo informático 1, por ejemplo, la planificación de la ejecución de programas software o tareas o el permitir que programas software u otros módulos o unidades se comuniquen. El sistema operativo 3 puede ser un sistema operativo comercial. Se ha de observar que un sistema operativo 3 puede ser un componente opcional, por ejemplo, en algunas realizaciones, un sistema puede incluir un dispositivo informático que no requiere ni incluye un sistema operativo 3.
La memoria 4 puede ser o puede incluir, por ejemplo, una memoria de acceso aleatorio (RAM), una memoria de sólo lectura (ROM), una RAM dinámica (DRAM), una DRAM síncrona (SD-RAM), un chip de memoria de velocidad de datos doble (DDR), una memoria flash, una memoria volátil, una memoria no volátil, una memoria caché, un buffer, una unidad de memoria a corto plazo, una unidad de memoria a largo plazo, u otras unidades de memoria o unidades de almacenamiento adecuadas. La memoria 4 puede ser o puede incluir una pluralidad de unidades de memoria posiblemente diferentes. La memoria 4 puede ser un medio legible no transitorio de ordenador o procesador, o un medio de almacenamiento no transitorio de ordenador, por ejemplo, una RAM.
El código ejecutable 5 puede ser cualquier código ejecutable, por ejemplo, una aplicación, un programa, un proceso, una tarea o un script. El código ejecutable 5 puede ser ejecutado por el controlador 2 posiblemente bajo el control del sistema operativo 3. Por ejemplo, el código ejecutable 5 puede ser una aplicación que puede determinar de forma adaptativa un esquema de autenticación óptimo y/o autenticar a un usuario, como se describe más detalladamente en la presente memoria. A pesar de que, en aras de la claridad, en la figura 1 se muestra un único elemento de código ejecutable 5, un sistema según algunas realizaciones de la invención puede incluir una pluralidad de segmentos de código ejecutable similares al código ejecutable 5 que pueden cargarse en la memoria 4 y hacer que el controlador 2 lleve a cabo los métodos descritos en la presente memoria.
El sistema de almacenamiento 6 puede ser o puede incluir, por ejemplo, una memoria flash, como se conoce en la técnica, una memoria que sea interna o esté integrada en un microcontrolador o chip, como se conoce en la técnica, una unidad de disco duro, una unidad de CD-regrabable (CD-R), un disco Blu-ray (BD), un dispositivo de bus serie universal (USB) u otra unidad de almacenamiento fija y/o extraíble adecuada. El contenido puede almacenarse en el sistema de almacenamiento 6 y puede cargarse desde el sistema de almacenamiento 6 a la memoria 120, en donde puede ser procesado por el controlador 2. En algunas realizaciones, algunos de los componentes mostrados en la figura 1 pueden omitirse. Por ejemplo, la memoria 4 puede ser una memoria no volátil que tiene la capacidad de almacenamiento del sistema de almacenamiento 6. Por consiguiente, aunque se muestra como un componente independiente, el sistema de almacenamiento 6 puede estar integrado o incluido en la memoria 4.
Los dispositivos de entrada 7 pueden ser o pueden incluir cualesquiera dispositivos, componentes o sistemas de entrada adecuados, por ejemplo, un teclado o teclado numérico desmontable, un ratón y similares. Los dispositivos de salida 8 pueden incluir una o más pantallas o monitores (posiblemente desmontables), altavoces y/o cualesquiera otros dispositivos de salida adecuados. Cualesquiera dispositivos de entrada/salida (E/S) aplicables pueden conectarse al dispositivo informático 1, como se muestra en los bloques 7 y 8. Por ejemplo, una tarjeta de interfaz de red (NIC) cableada o inalámbrica, un dispositivo de bus serie universal (USB) o un disco duro externo pueden incluirse en los dispositivos de entrada 7 y/o en los dispositivos de salida 8. Se reconocerá que cualquier número adecuado de dispositivos de entrada 7 y dispositivos de salida 8 puede conectarse operativamente al dispositivo informático 1, tal y como se muestra en los bloques 7 y 8.
Un sistema según algunas realizaciones de la invención puede incluir componentes tales como, entre otros, una pluralidad de unidades centrales de procesamiento (CPU) o cualesquiera otros procesadores o controladores multipropósito o específicos adecuados (por ejemplo, controladores similares al controlador 2), una pluralidad de unidades de entrada, una pluralidad de unidades de salida, una pluralidad de unidades de memoria y una pluralidad de unidades de almacenamiento.
La siguiente tabla se puede utilizar como referencia para los términos utilizados en la presente memoria.
Tabla 1
Se hace referencia ahora a la figura 2, que es un diagrama de bloques que representa un sistema 10 para determinar de forma adaptativa un esquema de autenticación óptimo, según algunas realizaciones.
El sistema 10 puede ser o puede incluir al menos un dispositivo informático (por ejemplo, el elemento 1 de la figura 1), configurado para implementar al menos un método para determinar de forma adaptativa un esquema de autenticación óptimo, como se detalla en la presente memoria.
El sistema de autenticación 40 puede ser o puede incluir al menos un dispositivo informático (por ejemplo, el elemento 1 de la figura 1), y un usuario 50 puede solicitar o requerir del sistema de autenticación 40 acceso a un recurso computacional del mismo o a datos almacenados en el mismo. Por ejemplo, el sistema de autenticación 40 puede ser un servidor de banca en línea, y el usuario 50 puede ser un ordenador cliente en línea, utilizado por un usuario humano, que solicita acceso a una cuenta bancaria.
El dispositivo informático 1 del sistema de autenticación 40 puede estar configurado para ejecutar un conjunto de códigos de instrucción, después de dicha ejecución del conjunto de códigos de instrucción, el sistema de autenticación 40 puede recibir una identificación (por ejemplo, un nombre, un número de cuenta bancaria y similares) del usuario 50, y puede autenticar la identidad del usuario 50 para conceder el acceso requerido. Por ejemplo, el sistema de autenticación 40 puede llevar a cabo al menos un procedimiento de autenticación que puede incluir:
recepción de datos de autenticación del usuario (por ejemplo, una contraseña, datos biométricos, etc.);
comparación de los datos recibidos con datos previamente almacenados (por ejemplo, una contraseña previamente almacenada, almacenada en una base de datos tal como el elemento 410); y
verificación o autenticación de la identidad del usuario 50 de acuerdo con la comparación, como se conoce en la técnica.
El acceso puede incluir la capacidad de interactuar con el sistema, la capacidad de adquirir artículos del sistema, la capacidad de transferir dinero hacia o desde el sistema, u otras acciones. Por ejemplo, el sistema de autenticación 40 puede ser un servidor asociado con un sistema de banca, y el usuario 50 puede requerir acceso a datos que incluyen detalles de una cuenta bancaria. El sistema de autenticación 40 puede incluir comerciantes en línea, compañías de tarjetas de crédito, sistemas de almacenamiento de datos, corporaciones que proporcionan acceso a datos a empleados, u otros sistemas.
Como se sabe en la técnica, el sistema de autenticación 40 puede recibir una identidad o identificación (por ejemplo, un nombre de usuario, un número de identificación de usuario, un número de cuenta de banco o de otra cosa, y similares), o una identidad "representada" o "proporcionada" (que el usuario afirma ser, o la cuenta a la que el usuario pretende tener acceso) y puede requerir autenticación de la identidad del usuario 50 para conceder el acceso requerido. La identidad, cuando se utiliza en la presente memoria, puede incluir la identificación de una cuenta o entidad asociada con un usuario. Por ejemplo, la identidad puede incluir un número de cuenta financiera al que el usuario tiene autorización para acceder. Un proceso de autenticación puede incluir el uso de uno o más factores de autenticación. Cada factor puede estar relacionado con al menos un criterio de identidad, comúnmente denominado criterio de identidad "es", "tiene" o "sabe".
Por ejemplo, un criterio de identidad puede ser algo que el usuario "es" (por ejemplo, un ser humano, que tiene una cara, voz, huella dactilar, etc. específicos) y el factor de autenticación puede ser una autenticación biométrica de al menos un elemento biológico (por ejemplo, un reconocimiento facial, de voz y de huella dactilar, respectivamente).
En otro ejemplo, un criterio de identidad puede ser algo que el usuario "tiene" (por ejemplo, un dispositivo informático específico, como un teléfono celular que tiene un número de identificación de identidad de equipo móvil internacional (IMEI) específico, o un ordenador cliente, que tiene una dirección de control de acceso al medio (MAC) específica). El factor de autenticación puede ser una asociación del usuario a un número de identificación almacenado previamente certificado (por ejemplo, un MAC o IMEI previamente registrado).
En otro ejemplo más, el criterio de identidad puede ser algo que el usuario "sabe" (por ejemplo, una contraseña, una respuesta a una pregunta predefinida, etc.) y el factor de autenticación puede incluir la verificación del usuario frente a dichos datos previamente almacenados.
En algunas realizaciones, el sistema de autenticación 40 puede almacenar en la base de datos 410 una tabla de puntuación 412 de factores de autenticación soportados o disponibles (por ejemplo, autenticación de contraseña, autenticación de dirección MAC y reconocimiento facial). La tabla 2 siguiente proporciona un ejemplo de una tabla de puntuación 412 que puede estar incluida en un sistema para determinar de forma adaptativa un esquema de autenticación óptimo según algunas realizaciones.
Tabla 2
Como se muestra en la tabla 2, el sistema de autenticación 40 puede atribuir en la tabla de puntuación 412 una puntuación a priori a cada factor de autenticación soportado o disponible. Por ejemplo, el sistema de autenticación 40 (por ejemplo, un servicio de corredor en línea) puede soportar todos o algunos factores de autenticación de los detallados en la tabla 2 anterior. El sistema de autenticación 40 puede atribuir en la tabla 412 una puntuación baja a los criterios de identidad "sabe" (por ejemplo, bajo el supuesto de que las contraseñas se piratean con frecuencia), una puntuación media para los criterios de identidad "tiene" (por ejemplo, bajo el supuesto de que los números de identificación no son de acceso tan fácil), y una puntuación alta para los criterios de identidad "es" (por ejemplo, bajo el supuesto de que los datos biométricos pueden ser difíciles de falsificar).
El sistema de autenticación 40 (por ejemplo, un servidor de banca en línea) puede incluir una política 411 que puede ser específica o única (por ejemplo, como parte de una política predefinida determinada por el banco) para el sistema de autenticación específico 40. La política 411 puede almacenarse (por ejemplo, como un objeto de datos en la base de datos 410), y puede dictar diferentes características del proceso de autenticación del sistema de autenticación 40.
En algunas realizaciones, la política 411 puede incluir un nivel de autenticación mínimo requerido. El nivel de autenticación mínimo requerido puede, a su vez, dictar uno o más posibles esquemas de autenticación.
Por ejemplo, un nivel de autenticación mínimo requerido (por ejemplo, un valor numérico 'N') puede satisfacerse mediante esquemas de autenticación que pueden incluir una combinación de factores de autenticación, en los cuales la suma acumulativa de puntuaciones iguala o excede el nivel de autenticación mínimo requerido (por ejemplo, >=N).
En otro ejemplo, la política 411 del sistema de autenticación 40 puede requerir una diversificación de los criterios de identidad. En consecuencia, un nivel de autenticación mínimo requerido (N) puede satisfacerse mediante esquemas de autenticación que incluyen una combinación de factores de autenticación de diferentes criterios de identidad y cuya suma acumulativa de puntuaciones iguala o excede el nivel de autenticación mínimo requerido (por ejemplo, >= N).
Según algunas realizaciones, el sistema 10 puede recibir del sistema de autenticación 40 al menos un elemento (por ejemplo, un nivel de autenticación requerido) de la política 411 del sistema de autenticación 40 y una identidad de un usuario que requiere acceso al sistema de autenticación. En consecuencia, el sistema 10 puede producir una lista o conjunto de esquemas de autenticación 310 seleccionados óptimamente de acuerdo con la política 411 del sistema de autenticación y de acuerdo con la información histórica, como se explica en la presente memoria. Los posibles esquemas de autenticación pueden ser almacenados por el sistema de autenticación 40 como una tabla 413 en la base de datos 410, y/o pueden ser presentados por el sistema de autenticación 40 al usuario 50 como parte del proceso de autenticación.
Con respecto al mismo ejemplo, la política 411 puede dictar un nivel de autenticación mínimo requerido, que a su vez puede dictar tres posibles esquemas de autenticación:
un primer esquema puede incluir tres factores de autenticación "sabe". Por ejemplo, se le puede solicitar al usuario 50 que proporcione una contraseña, un nombre de una mascota y un nombre de un familiar, para acumular la puntuación de los tres factores de autenticación y obtener el nivel de autenticación requerido.
un segundo esquema puede incluir dos factores de autenticación, tal como un factor "sabe" y un factor "tiene". Por ejemplo, se le puede solicitar al usuario 50 que proporcione una contraseña desde un dispositivo pre-registrado (por ejemplo, que tenga una dirección MAC previamente verificada), para acumular la puntuación de los dos factores de autenticación y obtener el nivel de autenticación requerido.
un tercer esquema puede incluir un único factor de autenticación "es". Por ejemplo, se le puede solicitar al usuario 50 que presente su huella dactilar para obtener el nivel de autenticación requerido. La tabla 3 a continuación representa una realización de la tabla 413 según este ejemplo.
Tabla 3(Ejemplo de una posible tabla 413 de esquemas)
Según algunas realizaciones, la política 411 puede incluir al menos uno de entre: un nivel de autenticación mínimo requerido y al menos un factor de autenticación disponible asociado con una puntuación a priori. El término ‘disponible’ se utiliza en la presente memoria para referirse a un factor de autenticación (por ejemplo, una autenticación basada en huella dactilar) que puede ser soportado por el sistema de autenticación 40 (por ejemplo, uno que esté asociado con un lector de huella dactilar).
El sistema 10 puede recibir la política 411, o al menos un elemento de la misma, del sistema de autenticación 40 y puede producir una lista o conjunto que incluye al menos una sugerencia de un esquema de autenticación (por ejemplo, tal como se representa en la tabla 3) con uno o más factores de autenticación respectivos, cuya combinación puede satisfacer los requisitos de la política 411 del sistema de autenticación 40 (por ejemplo, requisito de nivel de autenticación mínimo, requisito de diversificación, etc.).
Según algunas realizaciones, el sistema 10 puede almacenar (por ejemplo, en una base de datos 60) datos que incluyen información histórica relativa a intentos de autenticación anteriores por parte del usuario 50. Dichos datos históricos pueden incluir, por ejemplo, el número de intentos de autenticación anteriores exitosos y fallidos por parte del usuario 50 para cada factor de autenticación.
Por ejemplo, un primer usuario 50 puede intentar autenticar su identidad mediante un primer factor de autenticación (por ejemplo, una autenticación basada en reconocimiento de voz) y puede fallar (ser rechazado por el sistema de autenticación 40), y un segundo usuario 50 puede intentar autenticarse a sí mismo mediante un esquema de autenticación que incluye uno o más segundos factores de autenticación (por ejemplo, contraseña y dirección MAC) y puede tener éxito. El sistema 10 puede almacenar en la base de datos 60 datos históricos que incluyan el éxito o el fallo de cada intento de autenticación en relación con la identificación de los usuarios 50 específicos (por ejemplo, un nombre de usuario, una cuenta de correo electrónico, etc.). Los datos históricos pueden estar disponibles para lectura por parte del sistema 10 durante futuros intentos de autenticación por parte de los mismos usuarios 50 específicos.
En algunas realizaciones, un usuario 50 puede intentar autenticar su identidad frente al sistema de autenticación 40, y el sistema 10 puede calcular, para cada esquema y/o factor de autenticación disponible, la probabilidad del usuario de una autenticación exitosa (por ejemplo, una condición en la que el sistema 10 autentica correctamente una identidad del usuario 50) en base a la información histórica. Por ejemplo, un procesador (por ejemplo, el elemento 2 de la figura 1) puede leer datos relacionados con intentos de autenticación anteriores basados en reconocimiento de voz del usuario 50 y calcular el porcentaje de intentos de autenticación exitosos en la primera vez de ese factor de autenticación como la probabilidad de éxito respectiva.
Según algunas realizaciones, el sistema 10 puede estar asociado con, o puede incluir, un módulo de análisis de infracciones 90, configurado para determinar (por ejemplo, mediante un supervisor humano y/o mediante un modelo de aprendizaje automático (ML)) los intentos fraudulentos exitosos de autenticar la identidad de un usuario y/o los intentos de autenticación no autorizados fallidos frente al sistema de autenticación 40.
El sistema 10 puede obtener (por ejemplo, del módulo de análisis de infracciones 90) y almacenar (por ejemplo, en la base de datos 60) datos que incluyen información relacionada con el riesgo, asociada con intentos de autenticación históricos. Dicha información relacionada con el riesgo puede incluir, por ejemplo, un número de casos verificados de intentos de autenticación fraudulentos exitosos por usuario y por factor de autenticación, y un número de casos verificados de intentos de autenticación no autorizados fallidos por factor de autenticación.
El sistema 10 puede calcular y atribuir una puntuación de riesgo a al menos un factor de autenticación y/o esquema de autenticación de acuerdo con los datos almacenados. Por ejemplo, el sistema 10 puede calcular un porcentaje de intentos fraudulentos exitosos de un factor de autenticación específico (por ejemplo, una autenticación basada en contraseña) a partir de un número total de intentos de autenticación que usan ese factor de autenticación. La puntuación de riesgo puede ser una función del porcentaje calculado (por ejemplo, el porcentaje de intentos de autenticación por el factor de autenticación específico que no incluye los intentos fraudulentos exitosos y una autenticación no autorizada fallida verificada) y puede representar la probabilidad de que el factor de autenticación específico pueda usarse de manera segura (por ejemplo, sin sucumbir a un intento de autenticación fraudulento).
En otro ejemplo, la puntuación de riesgo se puede calcular según la siguiente ecuación del índice de Sorense-Dice:
2TP
Puntuación de Riesao =— 7-— —— —
y 2 T P F P F N
en donde:
TP es el número de autenticaciones verdaderas positivas (por ejemplo, el número de intentos de autenticación exitosos por parte de usuarios genuinos y no fraudulentos);
FP es el número de autenticaciones falsas positivas (por ejemplo, el número de intentos de autenticación exitosos pero fraudulentos); y
FN es el número de autenticaciones falsas negativas (por ejemplo, el número de intentos de autenticación fallidos por parte de usuarios genuinos y no fraudulentos).
Según algunas realizaciones, el sistema 10 puede almacenar (por ejemplo, en la base de datos 60) datos asociados con la conveniencia de uno o más factores de autenticación. Por ejemplo, el sistema 10 puede almacenar la duración de uno o más intentos de autenticación (por ejemplo, cuánto tiempo lleva autenticar la identidad del usuario 50 según un factor de autenticación específico), puede calcular una puntuación de conveniencia (por ejemplo, un promedio de la duración de cada intento de autenticación) y puede atribuir o asignar la puntuación de conveniencia a al menos un factor de autenticación.
Según algunas realizaciones, el sistema 10 puede almacenar además (por ejemplo, en la base de datos 60) datos asociados con una preferencia de uno o más usuarios 50 por uno o más factores de autenticación específicos. La preferencia de usuario puede obtenerse explícitamente (por ejemplo, mediante entrada directa de un usuario 50) o implícitamente (como se detalla más adelante). La preferencia de usuario puede añadirse como un factor en la puntuación de conveniencia. Por ejemplo, cuando un usuario 50 específico o un grupo específico de usuarios 50 intenta autenticar su identidad frente al sistema de autenticación 40, a un factor de autenticación correspondiente a la preferencia del usuario, o de los usuarios, se le puede atribuir una puntuación de conveniencia alta.
Según algunas realizaciones, el sistema 10 puede estar configurado para seleccionar de forma óptima uno o más esquemas de autenticación, incluyendo cada uno de ellos uno o más factores de autenticación, de acuerdo con la política 411 predefinida asociada con un sistema de autenticación 40. Por ejemplo, el sistema de autenticación 40 puede ser un servidor de banca en línea, y el banco respectivo puede dictar una política para seleccionar un esquema de autenticación óptimo.
Según algunas realizaciones, la política 411 puede incluir al menos uno de entre:
un número mínimo de factores de autenticación;
al menos un tipo requerido de factores de autenticación (por ejemplo, autenticación mediante contraseña y autenticación por respuesta a una pregunta predefinida);
al menos un criterio de identidad requerido (por ejemplo, autenticación mediante los criterios 'sabe', 'es' y 'tiene');
una puntuación mínima de probabilidad de éxito para cada factor de autenticación; y
una puntuación mínima de probabilidad de éxito total para el esquema de autenticación.
Por ejemplo, una política puede dictar que un esquema de autenticación debe:
incluir al menos 2 factores de autenticación, cada uno relacionado con un tipo diferente, tal como factores de autenticación basados en reconocimiento facial y en reconocimiento de voz;
el reconocimiento facial debe tener una probabilidad de éxito de al menos el 99,995 %;
el reconocimiento de voz debe tener una probabilidad de éxito de al menos el 98 %; y
la probabilidad de éxito total debe ser al menos 1-(10A-4).
La política 411 puede incluir además una o más ponderaciones de atributo (por ejemplo, una ponderación de atributo de probabilidad de éxito, una ponderación de atributo de conveniencia, una ponderación de atributo de preferencia y una ponderación de atributo de riesgo), asociadas con atributos respectivos (por ejemplo, probabilidad de éxito, puntuación de conveniencia, preferencia de usuario explícita y/o implícita, y una puntuación de riesgo) de diferentes factores de autenticación. En alguna realización, la política 411 puede incluir además una ponderación de atributo de preferencia, para incluir la preferencia del usuario en la selección de factores de autenticación, como se explica en la presente memoria.
Con respecto al mismo ejemplo del banco, la política 411 del banco puede dictar un primer grado de importancia a la seguridad (por ejemplo, asignando una primera ponderación de atributo a la puntuación de riesgo), un segundo grado de importancia a la tasa de éxito (por ejemplo, asignando una segunda ponderación de atributo a la probabilidad de éxito) y un tercer grado de importancia a la conveniencia (por ejemplo, asignando una tercera ponderación de atributo a la puntuación de conveniencia).
El sistema 10 puede producir un conjunto o lista 310 que incluye una selección óptima de uno o más esquemas de autenticación, incluyendo cada uno de ellos uno o más factores de autenticación, de acuerdo con la información histórica y a la política 411 (por ejemplo, el nivel de autenticación requerido, las puntuaciones a priori y la una o más ponderaciones de atributo).
La selección de esquemas se denomina óptima en la presente memoria en el sentido de que el sistema 10 puede seleccionar o recomendar esquemas de autenticación de una forma que optimiza (por ejemplo, proporciona los valores más altos de al menos uno de entre: la probabilidad de éxito, la puntuación de riesgo y la puntuación de conveniencia) con respecto a una o más ponderaciones de atributo respectivas de la política dictada.
En algunas realizaciones, el sistema 10 puede seleccionar al menos un esquema de autenticación óptimo de acuerdo con una suma acumulativa de puntuaciones, ponderada por las ponderaciones de atributo.
Con respecto al mismo ejemplo de la política de banco 411, la ponderación del primer atributo (por ejemplo, asignada a la puntuación de riesgo) puede ser mayor que la ponderación del tercer atributo (por ejemplo, asignada a la puntuación de conveniencia). Esta configuración puede requerir la realización de procedimientos de autenticación adicionales (por ejemplo, esquemas de autenticación que incluyen un gran número de factores de autenticación), a expensas de la conveniencia del usuario 50. Sin embargo, a medida que aumenta el número de procedimientos de autenticación, la puntuación de conveniencia puede disminuir de forma correspondiente, y eso puede afectar a la suma acumulativa (según las ponderaciones respectivas limitan el sistema 10) e impedir que el sistema 10 aumente aún más el número de factores de autenticación. Por lo tanto, la política 411 puede configurar el sistema 10 para que mantenga el equilibrio o suavice los diferentes requisitos de autenticación (por ejemplo, entre la preferencia de un usuario y los requisitos de seguridad del sistema de autenticación).
El sistema de autenticación 40 (por ejemplo, un servidor de banca en línea) puede mostrar (por ejemplo, a través de un navegador web) el contenido de la lista o conjunto 310 como una lista de selección a un usuario 50 y puede solicitar al usuario 50 que seleccione un esquema según su preferencia. El sistema de autenticación 40 puede hacer llegar la selección del usuario 50 al sistema 10 como realimentación, para que sea analizada adicionalmente, como se describe en la presente memoria.
Por ejemplo, al usuario 50 se le puede presentar un primer esquema que incluye un primer factor de autenticación (por ejemplo, una contraseña) y un segundo esquema que incluye un segundo factor de autenticación (por ejemplo, un reconocimiento de voz). En un primer escenario, el usuario 50 puede haber olvidado la contraseña y puede poseer un teléfono inteligente, lo que le permite grabar su voz, y de esta forma puede preferir el esquema de reconocimiento de voz. En un segundo escenario, el usuario 50 puede no poseer un teléfono inteligente y, por lo tanto, puede preferir el esquema de contraseña. El sistema 10 puede utilizar esta información al objeto de:
ajustar finamente la selección de esquemas futuros por parte del usuario 50 específico; y
ajustar finamente la selección de esquemas futuros por parte de usuarios que sean similares (por ejemplo, que tengan un perfil similar) al usuario 50, como se detalla en la presente memoria.
El sistema 10 puede seleccionar al menos un esquema de autenticación, que incluye uno o más factores de autenticación según los datos relacionados con la información histórica y la política del sistema de autenticación. Por ejemplo, dichos datos pueden incluir al menos una de entre:
la probabilidad de éxito de autenticación calculada en relación con la ponderación de atributo respectivo;
la puntuación de conveniencia calculada en relación con la ponderación de atributo respectivo;
la puntuación de riesgo calculada en relación con la ponderación de atributo respectivo;
la puntuación de preferencia explícita y/o implícita (como se detalla más adelante) en relación con la tasa de atributo de preferencia respectivo; y
la puntuación a priori acumulativa en vista del nivel de autenticación mínimo requerido.
En algunas realizaciones, la lista de selección de uno o más esquemas de autenticación óptimos 310 puede incluir un esquema de autenticación según los datos detallados anteriormente. Por ejemplo, el sistema 10 puede seleccionar un esquema óptimo que pueda proporcionar una puntuación acumulativa máxima según los datos anteriores (por ejemplo, una suma ponderada máxima de una puntuación de preferencia, una puntuación de riesgo, una puntuación de conveniencia, etc.).
Además, o alternativamente, la lista 310 puede incluir una pluralidad de esquemas de autenticación óptimos, seleccionados u ordenados según sus puntuaciones (por ejemplo, la suma ponderada máxima de puntuaciones, la segunda suma ponderada, etc.).
En un ejemplo no reivindicado, la lista 310 puede incluir al menos un esquema seleccionado probabilísticamente (por ejemplo, seleccionado aleatoriamente). Dicha selección probabilística puede servir para hacer posible que el sistema 10 diversifique la realimentación de un usuario 50 (por ejemplo, la selección por parte del usuario de un esquema de autenticación de la lista o conjunto 310), y evitar una condición en la que la función de selección de esquema óptimo por parte del sistema 10 pueda ser llevada hacia una solución local, en lugar de hacia una solución global, como se conoce en la técnica.
El sistema 10 puede enviar la lista de selección de uno o más esquemas de autenticación 310 al sistema de autenticación 40. El sistema de autenticación 40 puede, a su vez, presentar la lista 310 de uno o más esquemas de autenticación al usuario 50 y solicitar al usuario 50 que seleccione explícitamente uno o más esquemas de autenticación de la lista 310 según sus preferencias.
Según algunas realizaciones, el sistema 10 puede estar configurado para almacenar (por ejemplo, en la base de datos 60) la selección del usuario 50 como una preferencia o selección explícita de un esquema de autenticación y/o factor de autenticación para usar esta información en futuros intentos de autenticación, y para incluir un aspecto de preferencia del usuario 50 y/o de usuarios similares en la selección de esquemas de autenticación óptimos.
Por ejemplo, el sistema de autenticación 40 (por ejemplo, un servidor de banca en línea) puede presentar (por ejemplo, a través de un navegador web) un primer esquema de autenticación, que incluye al menos un primer factor de autenticación (por ejemplo, dos factores de autenticación "sabe", tales como una autenticación por contraseña y una autenticación por respuesta a una pregunta predefinida) y un segundo esquema de autenticación, que incluye al menos un segundo factor de autenticación (por ejemplo, un único factor de autenticación "es", tal como un reconocimiento facial). El sistema de autenticación 40 puede solicitar al usuario 50 que seleccione (por ejemplo, como un cuadro de diálogo de selección en la pantalla del navegador web, como se conoce en la técnica) entre los esquemas presentados, y registrar o almacenar (por ejemplo, en la base de datos 410) la selección del usuario 50. El sistema de autenticación 40 puede hacer llegar la selección del usuario 50 al sistema 10, que a su vez puede contar y almacenar (por ejemplo, en la base de datos 60) el número de veces que ha sido seleccionado cada factor de autenticación para identificar las preferencias explícitas del usuario 50.
Según algunas realizaciones, el sistema 10 puede asignar una puntuación de preferencia explícita a cada factor de autenticación según la frecuencia de selección del mismo. El sistema 10 puede producir posteriormente la lista 310 (de selección óptima de esquemas de autenticación y/o factores de autenticación), de acuerdo con la información histórica (por ejemplo, puntuación de preferencia acumulativa) y a la política 411 (por ejemplo, el nivel de autenticación requerido y la ponderación de atributo de preferencia).
Según algunas realizaciones, el sistema 10 puede incluir un subsistema de entrenamiento 20, configurado para obtener continuamente de uno o más sistemas de autenticación 40 datos asociados con los usuarios 50 y los respectivos intentos de autenticación, y recomendar de forma adaptativa uno o más esquemas de autenticación de acuerdo con los datos obtenidos, como se detalla en la presente memoria.
Según algunas realizaciones, el sistema 10 puede obtener o recibir de uno o más sistemas de autenticación 40 datos relacionados con parámetros de información de perfil personal de una pluralidad de usuarios 50, y almacenar los datos de perfil (por ejemplo, en la base de datos 60). Los datos se pueden obtener, por ejemplo, durante el acceso del usuario 50 al sistema de autenticación 40, o de una base de datos asociada con el sistema de autenticación 40. Por ejemplo, al menos un sistema de autenticación 40 puede ser un servidor de banca en línea, asociado con una base de datos de un banco que puede almacenar información personal relacionada con parámetros de perfil del usuario. Dichos parámetros pueden incluir, por ejemplo: la edad del usuario, el sexo, los ingresos, la dirección de residencia, el estado civil, la posesión de una cuenta bancaria, la vinculación con otras cuentas bancarias, la posesión de un dispositivo informático (por ejemplo, un teléfono inteligente), la posesión de una cuenta de correo electrónico y similares.
El subsistema de entrenamiento 20 puede incluir un módulo de segmentación 210, configurado para leer o recibir continuamente los datos de los parámetros del perfil personal de la pluralidad de usuarios y segmentar o agrupar la pluralidad de usuarios 50 en grupos, en un modelo de agrupamiento, según la información de perfil personal recibida. Dicho agrupamiento puede implementarse mediante cualquier modelo de agrupamiento adecuado, supervisado o no supervisado.
Por ejemplo, el módulo de segmentación 210 puede ser o puede incluir un modelo de agrupamiento de K-medias no supervisado, configurado para agrupar la pluralidad de usuarios según un número óptimo de K grupos, alrededor de un número K respectivo de vectores centroides. Cada vector centroide del modelo de agrupamiento puede estar caracterizado por unos valores de parámetros de grupo específicos, que pueden ser, o no, equivalentes a los parámetros de perfil personal, como se conoce en la técnica.
Un usuario 50 puede requerir una autenticación por parte del sistema de autenticación 40 y puede proporcionar parámetros de perfil personal para ese fin. El sistema 10 puede entonces atribuir al usuario una condición de miembro de uno de los grupos al usuario y puede producir una lista 310 (por ejemplo, una selección óptima de uno o más esquemas de autenticación) de acuerdo con la condición de miembro del usuario individual en el grupo, como se explica en la presente memoria.
Según algunas realizaciones, el módulo de segmentación 210 puede estar configurado para obtener o determinar al menos una preferencia implícita de un factor de autenticación de al menos un usuario, de acuerdo con la condición de miembro del usuario en un grupo.
Por ejemplo, el módulo de segmentación 210 puede recibir parámetros de perfil personal (por ejemplo, la propiedad de un teléfono inteligente) relativos a un usuario 50 para quien se desconoce la preferencia del factor de autenticación (por ejemplo, en una condición en la que éste es el primer intento de autenticación del usuario). El módulo de segmentación 210 puede asociar o asignar una condición de miembro del usuario 50 a un grupo de usuarios según sus parámetros de perfil personal (por ejemplo, usuarios similares, que también poseen teléfonos inteligentes). El módulo de segmentación 210 puede determinar al menos una preferencia implícita asociada con el grupo de condición de miembro (por ejemplo, que los usuarios que poseen un teléfono inteligente pueden preferir la autenticación por reconocimiento de huella dactilar frente a la autenticación por envío de una contraseña) y atribuir la preferencia implícita al nuevo usuario.
Según algunas realizaciones, el sistema 10 puede asignar una puntuación de preferencia implícita según la selección implícita de al menos un factor de autenticación. El sistema 10 puede actualizar la lista o conjunto de al menos un esquema de autenticación 310 según la puntuación de preferencia implícita, al objeto de presentar a un usuario al menos un factor de autenticación según selecciones y preferencias explícitas de usuarios similares (por ejemplo, del mismo grupo).
Según algunas realizaciones, el módulo de segmentación 210 puede actualizar la probabilidad de autenticación exitosa de un usuario para cada factor de autenticación de acuerdo con la condición de miembro de grupo del usuario. Con respecto al mismo ejemplo, el módulo de segmentación 210 puede inducir una probabilidad de autenticación exitosa de un usuario a través de un método de autenticación por huella dactilar según una probabilidad promedio de éxito de otros usuarios que están en el grupo de condición de miembro. De forma similar, el sistema 10 puede actualizar la lista o conjunto de al menos un esquema de autenticación 310 de acuerdo con la probabilidad actualizada de autenticación exitosa de un usuario.
El subsistema de entrenamiento 20 puede incluir un módulo de resolución 220, configurado para predecir la probabilidad de que un usuario prefiera y tenga éxito en un primer intento de un proceso de autenticación, cuando utiliza un factor de autenticación específico.
El módulo de resolución 220 puede ser o puede incluir un modelo de aprendizaje automático (ML) supervisado 221, configurado para recibir datos de agrupamiento 211 del módulo de segmentación 210 y datos almacenados relacionados con los intentos de autenticación históricos.
Por ejemplo, cuando el módulo de segmentación 210 se implementa como un modelo de agrupamiento de K-medias, el módulo de resolución 220 puede recibir como datos de agrupamiento 211 los respectivos K vectores centroides del módulo de segmentación 210.
Los datos almacenados relacionados con los intentos de autenticación históricos pueden incluir al menos uno de entre:
una puntuación de riesgo asociada con un factor de autenticación específico;
una probabilidad de éxito asociada con el factor de autenticación;
una puntuación de conveniencia asociada con un factor de autenticación específico; y
una puntuación de selección explícita y/o implícita de factores y/o esquemas de autenticación.
El módulo de resolución 220 puede adaptarse para producir una función de predicción 221, adaptada para predecir un factor de autenticación y/o un esquema de autenticación óptimos de acuerdo con los datos de agrupamiento y a los datos de autenticación históricos recopilados.
Dicho de otro modo, el módulo de resolución 220 puede calcular una función, asociando parámetros de perfil de al menos un grupo de usuarios con datos históricos almacenados relacionados con intentos de autenticación anteriores.
Por ejemplo, el módulo de resolución 220 puede producir una pluralidad de esquemas de autenticación (por ejemplo, un vector 'S' de esquemas de autenticación, incluyendo cada uno una combinación o permutación de factores de autenticación) en donde cada esquema de autenticación (Si) es una combinación única de factores de autenticación disponibles. (El término único se utiliza en la presente memoria para referirse a una condición en la que para cada índice m e índice n, donde ((m,n)= 0,1,2...) y m!=n, se cumple S<m>!=S<n>).
El módulo de resolución 220 puede producir una matriz de probabilidad [Y], en la que cada entrada Y<i,j>representa una probabilidad de que un usuario del grupo j prefiera el esquema de autenticación S<i>y de que el usuario tenga éxito en un primer intento de autenticación.
Por ejemplo, la probabilidad de que un usuario del grupo j prefiera el esquema de autenticación Si y de que el usuario tenga éxito en un primer intento de autenticación puede calcularse según al menos una de entre: la puntuación de preferencia explícita, una puntuación de preferencia implícita (como se detalla en otra parte), la probabilidad de éxito, la puntuación de conveniencia y la puntuación de riesgo. Por ejemplo, cada una de las puntuaciones antes mencionadas (por ejemplo, la puntuación de riesgo) puede representarse como un número fraccionario entre 0 y 1 (por ejemplo, la probabilidad de que la autenticación no sucumba al acceso fraudulento), y la probabilidad puede calcularse como el producto de la multiplicación de las puntuaciones antes mencionadas.
El modelo de aprendizaje automático 221 es entrenado, como se conoce en la técnica, para predecir los valores de probabilidad Y<i, j>dados los parámetros específicos del grupo j y el esquema de autenticación S<i>.
Por ejemplo, el ML 221 puede recibir como realimentación al menos uno de entre:
una entrada a través de una interfaz de usuario (por ejemplo, a través del elemento de entrada 7 de la figura 1) de un usuario administrativo (por ejemplo, un usuario distinto del usuario 50 para quien el sistema de autenticación realiza el proceso de autenticación), que incluye, por ejemplo: un resultado de un proceso de autenticación, un cambio en la política del sistema de autenticación 40, un cambio en los factores de autenticación disponibles y similares;
una entrada del sistema de autenticación 40, relativa a la selección por parte del usuario 50 de al menos un factor de autenticación;
una entrada del sistema de autenticación 40, relativa al éxito o fracaso del (de los) factor(es) de autenticación seleccionado(s); y
al menos una entrada del módulo de análisis de infracciones 90 relativa al resultado de la autenticación (por ejemplo, si el acceso fue fraudulento),
y entrenar el modelo ML 221 de acuerdo con la realimentación para predecir o calcular una dependencia de al menos un valor de una entrada Y<i, j>de la matriz de probabilidad [Y] dados unos parámetros de grupo de vector asociados con un grupo específico del modelo de agrupamiento 211.
Como se sabe en la técnica del aprendizaje automático, se puede aplicar una pluralidad de algoritmos para calcular o entrenar el modelo ML 221 para predecir dicha dependencia en base a los datos históricos proporcionados. Por ejemplo, el módulo de resolución 220 puede implementar un algoritmo de descenso de gradiente para este fin.
Según algunas realizaciones, el sistema 10 puede recibir del sistema de autenticación 40 información de perfil personal de un usuario (por ejemplo, en tiempo real, o casi en tiempo real, durante el proceso de autenticación del usuario 50). El módulo de segmentación 210 puede atribuir o asignar una condición de miembro de un grupo del modelo de agrupamiento 211 al usuario según su información de perfil personal. El módulo de resolución puede predecir los valores de al menos una entrada Y<i, j>de la matriz de probabilidad [Y] según los valores de parámetros del grupo de condición de miembro y según el entrenamiento del modelo ML 221.
Según algunas realizaciones, el sistema 10 puede incluir un módulo de decisión, configurado para recibir la al menos una entrada Y<i, j>de la matriz de probabilidad [Y], y determinar al menos un factor de autenticación óptimo para su uso por parte del usuario 50, según la al menos una entrada Y<i, j>de la matriz de probabilidad [Y] (por ejemplo, dada la condición de miembro del usuario de un grupo específico y los datos almacenados de los intentos de autenticación históricos).
Se hace referencia ahora a la figura 3, que es un diagrama de flujo que representa un método para determinar de forma adaptativa un esquema de autenticación óptimo (por ejemplo, el elemento 40 de la figura 2) mediante al menos un procesador (por ejemplo, el elemento 2 de la figura 1), según algunas realizaciones.
Como se muestra en la etapa S1005, el procesador puede estar configurado para recibir, desde el sistema de autenticación, una identidad de un usuario (por ejemplo, un número de identificación, un nombre, una cuenta de correo electrónico y similares) que requiere acceso al sistema de autenticación (por ejemplo, un servidor de base de datos en línea) y una política del sistema de autenticación (por ejemplo, un nivel de autenticación mínimo, al menos un factor de autenticación disponible, al menos una ponderación de atributo, al menos una puntuación a priori y similares).
Como se muestra en la etapa S1010, el procesador puede recibir, desde un dispositivo de almacenamiento, unos datos que incluyen información histórica relativa a intentos de autenticación anteriores por parte del usuario, incluyendo, por ejemplo, un número de intentos de autenticación exitosos, un número de intentos de autenticación fraudulentos verificados, la duración de los intentos de autenticación anteriores y similares.
Como se muestra en la etapa S1015, el procesador puede producir una lista o un conjunto que incluya una selección óptima de uno o más esquemas de autenticación, incluyendo cada uno de ellos uno o más factores de autenticación, de acuerdo con la información histórica y a la política del sistema de autenticación. Como se detalla en la presente memoria, la selección de uno o más esquemas de autenticación puede tener en cuenta al menos uno de entre: la selección o preferencia explícita y/o implícita de un usuario de al menos un factor de autenticación, al menos un elemento de la política del sistema de autenticación, y datos estadísticos históricos relacionados con los intentos de autenticación anteriores, que incluyen: un riesgo asociado con al menos un factor de autenticación, la conveniencia de usar al menos un esquema de autenticación (por ejemplo, duración de la autenticación y número de factores de autenticación dentro del esquema de autenticación), y similares.
Como se muestra en la etapa S1020, el procesador puede enviar la lista de selección (por ejemplo, el elemento 310 de la figura 2) de uno o más esquemas de autenticación al sistema de autenticación 40 que, a su vez, puede solicitar al usuario que seleccione un esquema de autenticación según su preferencia. El procesador puede almacenar la selección del usuario para un análisis adicional, para ajustar finamente de forma iterativa la predicción y/o la determinación de un esquema de autenticación óptimo por parte del procesador.
Como se sabe en la técnica, los sistemas disponibles comercialmente para la autenticación de la identidad de un usuario pueden ser indiferentes, o estar disociados, con respecto a una variedad de propiedades, incluidas las propiedades del usuario y del sistema de autenticación, y con respecto al historial de intentos de autenticación anteriores. Las realizaciones de la presente invención pueden mejorar dicha tecnología proporcionando un método de autenticación que puede ser: adaptado para ajustarse a una política que puede ser dictada por uno o más sistemas de autenticación, y que puede cambiar dinámicamente con el tiempo; adaptado para ajustarse a la preferencia explícita y/o implícita de método de autenticación de un usuario; más seguro (por ejemplo, al tener una probabilidad mínima de acceso fraudulento de entre una pluralidad de métodos de autenticación); y más conveniente (por ejemplo, al consumir una duración mínima de entre los métodos de autenticación disponibles).

Claims (12)

REIVINDICACIONES
1. Un método para determinar un esquema de autenticación óptimo por medio de al menos un procesador, comprendiendo el método:
recibir (S1005), desde un sistema de autenticación (40), una identidad de un usuario (50) que requiere acceso al sistema de autenticación y una política (411) del sistema de autenticación;
recibir (S1010), desde un dispositivo de almacenamiento, datos que comprenden información histórica relativa a intentos de autenticación anteriores por parte del usuario;
producir (S1015) una lista (310) que comprende una selección óptima de uno o más esquemas de autenticación, comprendiendo cada uno de ellos uno o más factores de autenticación, de acuerdo con la información histórica y a la política del sistema de autenticación; y
enviar (1020) la lista de selección de uno o más esquemas de autenticación al sistema de autenticación, caracterizado por producir dicha lista utilizando un modelo de aprendizaje automático que se obtiene al:
recibir datos relacionados con información de perfil personal de una pluralidad de usuarios;
agrupar la pluralidad de usuarios en grupos (211) en un modelo de agrupamiento de acuerdo con la información de perfil personal recibida, en el que cada grupo está caracterizado por unos valores de parámetros de grupo específicos; producir una pluralidad de esquemas de autenticación S, en el que cada esquema de autenticación "S<i>" es una combinación única de factores de autenticación disponibles;
producir una matriz de probabilidad Y, en la que cada entrada Y<i, j>representa una probabilidad de que un usuario del grupo j prefiera el esquema de autenticación S<i>y de que el usuario tenga éxito en un primer intento de autenticación; y
entrenar el modelo de aprendizaje automático (221) para predecir Y<i, j>dados unos parámetros específicos del grupo j.
2. El método según la reivindicación 1, que comprende además:
presentar la lista (310) de uno o más esquemas de autenticación por medio del sistema de autenticación al usuario (50);
solicitar al usuario que seleccione al menos un esquema de autenticación; y
almacenar la selección del usuario como una preferencia explícita de autenticación.
3. El método según cualquiera de las reivindicaciones 1 y 2, en el que la política (411) del sistema de autenticación comprende un nivel de autenticación requerido, al menos un factor de autenticación disponible y al menos una puntuación a priori asociada relacionada con una propiedad de un factor de autenticación específico que representa un nivel de confianza del sistema de autenticación en ese factor de autenticación específico.
4. El método según cualquiera de las reivindicaciones 1-3, en el que la política (411) del sistema de autenticación comprende además al menos una ponderación de atributo, seleccionada de una lista que comprende una ponderación de atributo de probabilidad de éxito, una ponderación de atributo de conveniencia, una ponderación de atributo de riesgo y una ponderación de atributo de preferencia, asociadas con atributos respectivos de diferentes factores de autenticación.
5. El método según cualquiera de las reivindicaciones 1-4, en el que la información histórica comprende un número de intentos de autenticación exitosos anteriores por parte del usuario (50) para cada factor de autenticación y un número de intentos de autenticación fallidos anteriores por parte del usuario para cada factor de autenticación, y en el que producir una lista (310) de esquemas de autenticación seleccionados óptimamente comprende calcular, para cada factor de autenticación, la probabilidad del usuario de autenticación exitosa de acuerdo con la información histórica.
6. El método según cualquiera de las reivindicaciones 1-5, en el que la información histórica relativa a intentos de autenticación anteriores por parte del usuario (50) comprende además al menos uno de entre:
duración de los procesos de autenticación;
casos verificados de acceso fraudulento exitoso;
casos verificados de intentos fallidos de acceso no autorizado; y
selección explícita de un factor de autenticación por parte del usuario.
7. El método según cualquiera de las reivindicaciones 1-6, en el que la probabilidad de que un usuario del grupo j prefiera el esquema de autenticación S<i>y de que el usuario tenga éxito en un primer intento de autenticación se calcula según al menos una de entre:
una puntuación de preferencia explícita;
una probabilidad de éxito;
una puntuación de conveniencia; y
una puntuación de riesgo.
8. El método según cualquiera de las reivindicaciones 1 -7, que comprende además:
recibir información de perfil personal de un usuario (50);
atribuir una condición de miembro de un grupo del modelo de agrupamiento al usuario de acuerdo con su información de perfil personal;
predecir la matriz de probabilidad Y según los valores de parámetros del grupo de condición de miembro y según el entrenamiento del modelo ML (221);
determinar una entrada óptima Y<i, j>para el usuario;
seleccionar al menos un esquema de autenticación óptimo de acuerdo con la entrada óptima determinada Y<i, j>; y producir una lista (310) que comprende el al menos un esquema de autenticación seleccionado óptimo.
9. El método según cualquiera de las reivindicaciones 1 -8, que comprende: obtener al menos una preferencia implícita de un factor de autenticación de al menos un usuario (50), según la condición de miembro del usuario a un grupo.
10. El método según cualquiera de las reivindicaciones 1 -9, que comprende actualizar la probabilidad de autenticación exitosa de un usuario para cada factor de autenticación según la condición de miembro de grupo del usuario.
11. El método según la reivindicación 10, que comprende actualizar la lista de uno o más esquemas de autenticación recomendados según al menos una de entre: la probabilidad actualizada de autenticación exitosa de un usuario y la obtención de al menos una preferencia implícita.
12. Un sistema (10) para determinar un esquema de autenticación óptimo para un sistema de autenticación, comprendiendo el sistema: un dispositivo de memoria no transitoria (4) en el que se almacenan unos módulos de código de instrucción (5), y un procesador (2) asociado con el dispositivo de memoria, y configurado para ejecutar los módulos de código de instrucción, en donde tras la ejecución de dichos módulos de código de instrucción, el procesador se configura además para llevar a cabo las etapas de cualquiera de las reivindicaciones 1 a 11.
ES19886452T 2018-11-19 2019-10-31 Sistema y método para determinar de forma adaptativa un esquema de autenticación óptimo Active ES2960052T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/194,433 US10986138B2 (en) 2018-11-19 2018-11-19 System and method for adaptively determining an optimal authentication scheme
PCT/IL2019/051185 WO2020105026A1 (en) 2018-11-19 2019-10-31 System and method for adaptively determining an optimal authentication scheme

Publications (1)

Publication Number Publication Date
ES2960052T3 true ES2960052T3 (es) 2024-02-29

Family

ID=70726632

Family Applications (1)

Application Number Title Priority Date Filing Date
ES19886452T Active ES2960052T3 (es) 2018-11-19 2019-10-31 Sistema y método para determinar de forma adaptativa un esquema de autenticación óptimo

Country Status (5)

Country Link
US (1) US10986138B2 (es)
EP (1) EP3884410B1 (es)
CN (1) CN113383333A (es)
ES (1) ES2960052T3 (es)
WO (1) WO2020105026A1 (es)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9906954B2 (en) 2014-10-20 2018-02-27 Payfone, Inc. Identity authentication
US11233788B1 (en) * 2018-11-27 2022-01-25 Amazon Technologies, Inc. Determining authentication assurance from historical and runtime-provided inputs
US11227036B1 (en) * 2018-11-27 2022-01-18 Amazon Technologies, Inc. Determination of authentication assurance via algorithmic decay
US11880842B2 (en) * 2018-12-17 2024-01-23 Mastercard International Incorporated United states system and methods for dynamically determined contextual, user-defined, and adaptive authentication
US11321716B2 (en) * 2019-02-15 2022-05-03 Visa International Service Association Identity-based transaction processing
US11321634B2 (en) * 2019-05-21 2022-05-03 International Business Machines Corporation Minimizing risk using machine learning techniques
US11218493B2 (en) * 2019-05-31 2022-01-04 Advanced New Technologies Co., Ltd. Identity verification
US11785098B2 (en) * 2019-09-30 2023-10-10 Atlassian Pty Ltd. Systems and methods for personalization of a computer application
CN112003818A (zh) * 2020-07-04 2020-11-27 中信银行股份有限公司 身份认证方法及身份认证系统
US20220329434A1 (en) * 2021-04-08 2022-10-13 Payfone, Inc. Communications device and/or authentication server using subscriber biometric attributes
CN113360218A (zh) * 2021-06-16 2021-09-07 北京字节跳动网络技术有限公司 一种业务方案选择方法、装置、设备以及存储介质
US11790406B2 (en) * 2022-01-31 2023-10-17 Walmart Apollo, Llc Systems and methods for improved online predictions
CN115118496B (zh) * 2022-06-27 2024-02-27 珠海格力电器股份有限公司 身份认证信息的存储方法、装置以及身份认证设备
CN116975831B (zh) * 2023-09-25 2023-12-05 国网山东省电力公司日照供电公司 一种基于指纹识别技术的安全认证方法及系统

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115142A1 (en) * 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
US8584219B1 (en) 2012-11-07 2013-11-12 Fmr Llc Risk adjusted, multifactor authentication
US9667611B1 (en) * 2014-03-31 2017-05-30 EMC IP Holding Company LLC Situationally aware authentication
US10652225B2 (en) * 2014-06-30 2020-05-12 International Business Machines Corporation Queue management and load shedding for complex authentication schemes
US9497312B1 (en) * 2015-02-17 2016-11-15 Amazon Technologies, Inc. Dynamic unlock mechanisms for mobile devices
US9912657B2 (en) 2015-06-02 2018-03-06 Dipankar Dasgupta Adaptive multi-factor authentication system
US9699196B1 (en) * 2015-09-29 2017-07-04 EMC IP Holding Company LLC Providing security to an enterprise via user clustering
US10165005B2 (en) 2016-09-07 2018-12-25 Oracle International Corporation System and method providing data-driven user authentication misuse detection
US10931758B2 (en) * 2016-11-17 2021-02-23 BrainofT Inc. Utilizing context information of environment component regions for event/activity prediction
US10135810B2 (en) * 2016-11-17 2018-11-20 Adp, Llc Selective authentication system
US10158650B1 (en) * 2017-01-17 2018-12-18 Regis Hadiaris Token verification from incremental inputs
CN108460681B (zh) * 2017-02-20 2020-07-03 阿里巴巴集团控股有限公司 一种风险管控方法及装置
US11080375B2 (en) * 2018-08-01 2021-08-03 Intuit Inc. Policy based adaptive identity proofing

Also Published As

Publication number Publication date
EP3884410A4 (en) 2022-07-27
WO2020105026A1 (en) 2020-05-28
US20200162515A1 (en) 2020-05-21
US10986138B2 (en) 2021-04-20
CN113383333A (zh) 2021-09-10
EP3884410A1 (en) 2021-09-29
EP3884410B1 (en) 2023-06-21

Similar Documents

Publication Publication Date Title
ES2960052T3 (es) Sistema y método para determinar de forma adaptativa un esquema de autenticación óptimo
US20200288315A1 (en) Method for automatic possession-factor authentication
US11336643B2 (en) Anonymizing biometric data for use in a security system
US20210286870A1 (en) Step-Up Authentication
US10044761B2 (en) User authentication based on user characteristic authentication rules
US20190377864A1 (en) Multi-factor authentication devices
US10911425B1 (en) Determining authentication assurance from user-level and account-level indicators
US9069976B2 (en) Risk adjusted, multifactor authentication
US8719911B2 (en) Methods, systems, and computer program products for authenticating an identity of a user by generating a confidence indicator of the identity of the user based on a combination of multiple authentication techniques
US8970348B1 (en) Using sequences of facial gestures to authenticate users
US10958660B2 (en) Information processing apparatus and access control method
US10311432B1 (en) Intelligent authentication
US9667611B1 (en) Situationally aware authentication
US9516010B1 (en) Authenticating a user while the user operates a client apparatus and possesses an electronic card
EP3681126B1 (en) Systems and methods for securely verifying a subset of personally identifiable information
TW202009834A (zh) 核身產品推送及核身方法和系統
US20160234024A1 (en) Leveraging Multiple Biometrics For Enabling User Access To Security Metadata
US11233788B1 (en) Determining authentication assurance from historical and runtime-provided inputs
US8935758B2 (en) System and method for checking the authenticity of the identity of a person accessing data over a computer network
US11934510B2 (en) Using drawing capability as a credential or authentication mechanism via generative and adversarial network
US20130305315A1 (en) Multi-media identity management system
US11783626B2 (en) Biometric gallery management using wireless identifiers