شذوذ المصادقة هو نمط تسجيل دخول ينحرف عما يفعله المستخدم أو حساب الخدمة أو المؤسسة عادةً. تشمل الأمثلة الانتقال المستحيل بين المواقع، وعمليات تسجيل الدخول من أجهزة غير مألوفة، وتسجيلات الدخول في أوقات غير معتادة، والفشل المتكرر في MFA، أو الوصول عبر VPN مختلف، أو نطاق IP مختلف، أو تطبيق مختلف عن المتوقع.
تكتسب هذه المسألة أهمية لأن إساءة استخدام بيانات الاعتماد تظهر غالبًا أولًا في سجلات المصادقة، قبل أن يصبح سرقة البيانات أو نشاط برامج الفدية واضحًا. قد يستخدم المهاجمون كلمات مرور مسروقة أو رموز جلسات أو محاولات التخمين بالقوة للوصول إلى البريد الإلكتروني أو VPN أو لوحات التحكم السحابية أو بوابات الإدارة. يبحث المدافعون عن الشذوذ لاكتشاف الاستيلاء على الحسابات، ورفع الامتيازات، والتسلل المبكر. عمليًا، تُربط شذوذات المصادقة بالسلوك الأساسي المعياري، وثقة الجهاز، والموقع الجغرافي، وتقييم المخاطر، وقياس بيانات الدليل، ثم تُحقق بالاقتران مع نشاط الملفات، والوصول إلى النسخ الاحتياطية، والتغييرات الإدارية لتأكيد ما إذا كان تسجيل الدخول مشروعًا أم خبيثًا.