Нечёткая авторизация

Хорошая авторизация – в дефиците. Все хотят надёжно, дёшево и дистанционно, но выбираются только 2 из 3. Если такая нехватка, то почему же заказчики действуют по бинарному принципу "всё или ничего"? Почему не соглашаются на частичную авторизацию?


Бинаризация – дурной принцип. Давно бы пора перейти на непрерывную шкалу полномочий.

Например, знание персональных данных даёт субъекту 5-10 очков; предъявление одноразового пароля с токена – сразу 80; обратный звонок, пробная транзакция, рекомендация, поручительство, скан документов – соответственно. А каждый новый балл в этой системе даёт доступ к новым функциям, всё более рискованным на предмет мошенничества: посмотреть баланс, получить выписку, уплатить коммуналку, повторить старый перевод, сделать новый перевод доверенному продавцу и так далее, по мере возрастания рискованности.

Помните, как от тупых много ошибающихся антиспамовых систем RBL перешли к более умным? Первые принимали бинарное решение: принять или отвергнуть коннекцию на основании IP-адреса передающего узла. Вторые же системы этот IP учитывали в весовом коэффициенте наряду с сотней иных параметров, а по итоговому рейтингу принимали гибкое решение: отвергали письмо, направляли в карантин, помечали или пропускали без пометок.

Хотелось бы, чтобы банковские умельцы посчитать риск продемонстрировали это своё умение на практике. Пусть цветут сто методов аутентификации – от честного слова джентльмена до личной явки с паспортом. Пусть каждый влияет на рейтинг. Пусть рейтинг даёт доступ к ста полномочиям - от подачи жалобы до открытия кредитного счёта. Вот где настоящая математика!

ЗЫ. Который раз мучаюсь. Удалённый такой банкинг! Удалё-о-о-нный. От жизни.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах