案例研究：Aetna 推进基于 FIDO 标准的用户身份验证

15 11 月, 2018

概述

客户

Aetna 是一家领先的医疗保健组织，为约 3790 万人提供服务。

挑战

为 Aetna 的在线服务客户、合作伙伴和员工提供更好的身份验证。医疗保健组织必须保护受保护的健康信息（PHI），以确保遵守 HIPAA 和 HITECH 等医疗保健法规，并避免因数据泄露而导致的代价高昂的罚款和诉讼。

解决方案

Aetna 已采用 FIDO 标准进行用户身份验证，使用生物识别技术来验证客户及其下一代身份验证流程（基于行为的安全性，可在用户在 Aetna 移动应用程序上的整个在线会话中对其进行身份验证）。

结果

在应用程序使用后的两周内，Aetna 就能够为用户的行为设定基线。
Aetna 正在使用行为数据来帮助保护用户，将其输入 FIDO NGA 风险引擎，该引擎持续输入数据，然后最终将其丢弃。风险引擎受到六层安全控制的保护。

FIDO解决方案

Aetna 需要将用户身份验证集成到整体体验中，以简化参与，同时向客户、合作伙伴和员工发出强烈的信息，即他们的数据是安全的。 Aetna 很自豪能够将 FIDO 标准用于用户身份验证、生物识别和下一代身份验证。

FIDO提供

FIDO 联盟的规范和认证支持基于硬件、移动和生物识别的身份验证器的可互操作生态系统，可与许多应用程序和网站一起使用。该生态系统使企业和服务提供商能够部署强大的身份验证解决方案，以减少对密码的依赖，并防止网络钓鱼、中间人和使用被盗密码的重放攻击。

“FIDO联盟基于开放标准开发用户身份验证，因此像Aetna这样的公司可以采用最好的现代技术，而不受限制。FIDO联盟执行董事Brett McDowell说，“基于标准的架构可以随着市场的发展而发展，运行成本更低，并降低运行和维护报废系统的风险。

细节

挑战

医疗保健组织正在寻求发展用户身份验证，以应对风险和威胁的新时代。网络犯罪分子高度重视医疗保健数据，因为它提供了丰富的个人、财务和医疗数据，可用于多种类型的欺诈，包括保险索赔、健康储蓄账户、灵活储蓄账户等。

医疗保健组织必须保护受保护的健康信息（PHI），以确保遵守 HIPAA 和 HITECH 等医疗保健法规，并避免因数据泄露而导致的代价高昂的罚款和诉讼。

医疗保健安全领导者还希望避免帐户接管，即网络犯罪分子使用个人人口统计信息绕过密码重置功能。在包括 Anthem、Equifax、Yahoo 等在内的几次重大数据泄露事件之后，网络犯罪分子能够收集丰富的配置文件，他们可以使用这些配置文件来大规模冒充用户。 “现实情况是，该行业正在获得越来越多的账户接管尝试，”Aetna的Jim Routh说，他是医疗保健公司的首席安全官（CSO）。 “二进制身份验证 [using passwords] 今天已经过时了。”

在医疗保健行业创建防网络钓鱼安全性

解决方案：Routh 希望找到一种更好的方法来验证使用 Aetna 在线服务的客户、合作伙伴和员工。该公司正在其移动和网络平台上推出下一代身份验证（NGA），采取两阶段方法来提高其在线服务的安全性和可用性。

首先，Aetna采用FIDO标准进行用户身份验证，使用生物识别技术而不是密码来验证客户。生物识别功能正在迅速发展，Aetna 希望在跨软件和设备使用标准界面的同时为消费者提供选择。此外，与非基于标准的架构相比，基于标准的架构的运行成本更低。

FIDO 身份验证面向未来并简化用户身份验证

“Aetna 采用了生物识别信息的 FIDO 标准，以创建一致性并简化整个身份验证过程，”Routh 说。 “FIDO使我们免受消费者选择或设备内置安全功能的影响。该标准将身份验证过程与应用程序开发人员分开，因此无论移动运营商、设备制造商或在线服务的配置如何，我们都可以每次进行身份验证。更重要的是，会员的生物识别信息永远不会离开他或她的设备，确保会员的身份受到保护和不受损害。

开发基于开放标准的用户身份验证也是“面向未来”的解决方案，因此像 Aetna 这样的公司可以采用最好的现代技术，而不会被供应商的专有产品所束缚。

基于标准的架构可以随着市场的发展和扩展，运行成本低于专有架构，还可以降低操作系统和维护的风险。

Aetna 在联机会话期间使用多达 60 种行为对用户进行身份验证

在该计划的第二阶段，Aetna推出了其下一代身份验证流程：基于行为的安全性，该安全性在用户在Aetna Mobile应用程序上的在线会话中对用户进行身份验证。 Aetna 会持续审查 30 到 60 种不同的行为，例如位置、访问时间、指纹和击键样式，以确保用户保持不变。因此，例如，如果一个人将手机交给朋友，该应用程序将识别新用户并要求进行另一种形式的身份验证。