企业需要构建可信身份认证环境

原创
安全 数据安全
Secure ID事件的影响还在继续,随着多家供应商表示愿意为客户更换使用RSA Secure ID的解决方案,构建可信的身份认证环境就显得越来越重要。对于可信的身份认证,希望以下四个方面对用户在选择身份认证解决方案时,有所帮助
目前,很多企业已建立一套服务于业务,驱动业务发展的IT系统架构、OA系统及各种业务系统,同时也部署了诸如防火墙、VPN等技术来保护IT系统。
 
尽管网络的硬件和软件环境看上去都受到了保护,达到理论的安全标准。但事实上,在整个IT系统架构中依然存在一个很容易被忽视的部分——“用户身份认证”。如果“身份”问题不能得到解决,黑客将会很容易冒充正常用户进入到公司系统,窃取公司内部的机密信息,使貌似安全的环境,却成为“网络安全最薄弱环节”。
 
许多公司仅用静态密码对他们重要的信息和交易业务进行保护,这是完全不够的。静态密码很容易被黑客破解,对于一些重要的、机密的数据信息,只使用静态密码保护是绝对不足够的。
 
20011年3月,RSA公司透露其受到网络攻击,攻击造成SecurID的关键信息丢失。6月2日,RSA确认了在3月份的被盗的数据被用来攻击洛克希德-马丁公司和其他美国国防承包商。6月6日,该公司在全球范围召回4000万只SecurID。
 
针对这一事件的一项调查发现,越来越多的安全令牌用户对双因素认证技术感到焦虑。在接受调查的400名IT专业人士中,该事件让他们有所觉醒,其中,44%的人正重新评估他们目前使用的令牌,15%的人加快了已经计划好的令牌选项评估。
 
由此可见,加密是确保认证安全性的关键。身份认证、数据传输安全、后台系统安全性,这些都与加密息息相关。
 
来自SafeNet的一位技术专家表示,即使是窃取数据,一个攻击者使用SecurID技术入侵一个公司也需要高超的技术和好运气。
 
目前,加强用户的身份管理,防止用户身份的泄露,是公认的预防认证安全隐患的最有效措施。一方面是对使用用户的认证,即使用认证服务的这个人是不是合法用户?另一方面访问的站点是不是合法站点,这个站点是否是合法站点,通过用户自定义密码和动态密码结合的方式更保证了密码的安全性。
 
来自SafeNet的亚太区副总裁陈泓先生,对这一事件表示非常遗憾和震惊,同时他自己也做了相关的分析,如下图所示:

 
他认为通常身份认证供应商采用对称算法,在每一个OTP(一次性密码)里放置一个种子文件,认证的时候该种子文件需要与OTP服务器进行签名,这一在给所有的客户分发发Token令牌时,供应商会自己做编程然后把种子文件放在OTP认证的服务器上。
 
显然,如果种子文件被偷了,将意味着整个安全系统的崩溃,任何拿到该种子文件的黑客可以轻易地仿冒任何客户的身份,后果之严重可想而知。陈泓分析认为,SecurID事件很可能是因为这样造成的,同时他也强调,对所有供应商来说,种子文件是令牌的核心。

对于可编程的种子,陈泓也给出了另一种解决方案,这也是SafeNet的解决方案,与前面那种方式相比而言,种子的生成不是在SafeNet这边完成的,而是在客户端做的,这样做的最大优势在于,即使一个客户存在安全风险并出现问题,也不会影响到其他客户。同时,陈泓也强调,客户为了保证种子文件的安全,需要建立一整套的安全机制。
 
不过在记者看来,将可编程的种子放在客户端,虽然可以避免整体受损,但并非所有客户都能做到安全的保护,需要很专业的IT人员和完善的安全策略。所以,陈泓分析的这两种方案各有千秋,都会存在一定的风险,客户在选择时也应该慎重考虑。
 
对于SecurID事件,RSA官方一直未就种子文件是否被攻破而表态,不过陈泓认为,种子文件是令牌的核心,如果不是核心出现问题,RSA也不太可能全部召回,因为RSA要把所有的种子文件都换掉,才能保证安全,保证网路不会再被黑客侵入。
 
值得一提的是,目前市场上有很多一次性密码(OTP)身份验证解决方案,虽然这些解决方案的特点无非是上述陈泓所说的那两种,但用户可选择的供应商依然有很多,如Safenet就是一家比较专业的身份认证解决方案提供商。
 
在基于智能卡的身份验证、密码管理和公钥基础设施(PKI)方案等领域内,SafeNet都取得了相当不错的市场份额,该公司提供基于一次性密码技术的身份验证解决方案基于eToken NG-OTP设备,是SafeNet独创的基于智能卡的混合Token令牌。可以在连通模式(采用USB连接)或分离模式(采用one-time密码)下访问网络和应用程序。
 
SecurID事件的影响还在继续,随着多家供应商表示愿意为客户更换使用RSA SecurID的解决方案,构建可信的身份认证环境就显得越来越重要。对于可信的身份认证,希望以下四个方面对用户在选择身份认证解决方案时,有所帮助:
◆可控性: 客户能够控制令牌种子值数据,并对令牌进行设置。
◆选择性: 一个好的Token令牌认证服务提供商,应该有不同的选择给客户。
◆集中管理:更好地进行控制,实现统一平台管理。
◆为云部署做好准备,无需改变现有平台。
责任编辑:赵毅 来源: 51CTO.com
相关推荐

2012-11-28 09:55:35

2016-04-28 09:24:50

国民认证

2018-05-29 14:48:06

2016-03-18 11:43:42

中科创达移动安全

2010-10-20 15:49:48

信息安全

2017-03-09 19:16:56

2011-05-10 09:09:36

身份验证HID Global

2018-05-19 00:03:36

区块链数据流通

2009-11-09 20:21:52

2016-10-12 15:54:07

云计算需求云认证

2018-04-26 16:23:20

区块链UCloudSGX技术

2019-01-08 15:58:09

安全可信数据存储

2014-07-15 16:34:45

云计算云服务

2018-01-24 10:12:21

2018-01-18 10:12:49

2016-03-14 14:27:38

可信云认证

2012-03-29 09:57:09

椒图科技安全操作系统

2011-03-30 13:21:17

2014-04-22 10:15:38

vCenter SSO身份认证
点赞
收藏

51CTO技术栈公众号