越来越多的迹象表明,使用单一密码认证的系统是注定要出问题的。Verizon在其2013年数据泄露调查报告中指出,使用非单一用户密码认证机制在去年可以抵御80%的攻击。但是,许多企业仍然没有使用多重身份认证。为此,我们了解一下什么是双重身份认证:技术供应商提供的方法,以及企业如何用它实现一个全面企业安全战略,从而实现一个可靠的业务案例。
虽然许多供应商推出了相似的技术,但是它们均有各自的优点和缺点。例如,有成熟产品的供应商可能使用一些私有验证方法和软件开发套件(SDK),它可能插入到企业应用程序或供应商应用程序中。其他供应商可能关注于一种或多种广泛应用的身份认证方法,如一次生密码(OTP)令牌和编外(OOB)身份认证方法。
双重认证用例
企业IT系统为特定的用户提供特殊功能;系统管理员执行的任务不同于安全分析师或财务分析师的任务。身份认证是一个重要的业务过程,它负责将用户关联到应用程序和其他资源,而不会向未授权的用户暴露数据与过程。
在现在云计算的复杂环境中,企业应该采用双重身份认证方法支持一个或多个用例,才能更好地保护企业资产和业务数据,阻止未授权访问。这些用例包括:
1. 内部或本地访问:员工访问关键业务或基于云的应用程序,以及/或者管理员访问企业服务器和网络设备。
2. 外部或远程访问:远程或移动员工通过VPN或Portal访问企业后台系统。
3. 常用网络入口:在公共网络/互联网和内部企业网络之间,使用安全访问机制访问企业服务,如电子邮件或VPN。#p#
双重认证方法
近几年来,双重认证(双重认证)逐渐成熟,而且技术成本也显著降低。虽然这项技术仍然在发展和改进,但是现在员工不需要复杂设备就能够很方便地使用这些技术。每一位员工的日常移动设备是第二种认证手段来生成安全认证代码,不需要使用令牌,就可以保护企业资产不受攻击。
一些主流双重认证供应商都提供了功能强大的成熟技术方法和各种可靠的企业用例,如Entrust、RSA、SafeNet和Symantec。
RSA是EMC的安全分部,它有知名的RSA SecureID一次性密码硬件和基于软件的令牌技术。此外,它还提供了自适应身份验证,大型企业可以通过它使用与环境相关的身份验证/自适应访问控制功能。另一个方法是身份验证,这是一个托管服务,它基于最终用户的生活历史问题来验证身份,并且使用交互式用户验证流程。它的大多数竞争对手都有相似的产品。
双重认证的实现成本受实际应用场景的影响。例如,行业领域、企业规模、使用模式、用户位置、帮助台在线状态和业务或数据敏感度等,大型金融与零售领域的实现成本大约在65,000美元至2百万美元之间。
PhoneFactor(已被微软收购)新近推出了一个可靠的双重认证产品。PhoneFactor使用用户的电话替代令牌或其他专用的双重认证设备,它方便用户使用,也是一个适合企业使用且经济的安全平台。在身份认证的第一步中,用户必须输入用户名和密码。第二步,用户可以选择下面的一种方法:a) PhoneFactor呼叫用户,用户按电话#键回复,b) PhoneFactor给用户发送一条包含验证码的短信,然后用户通过短信回复验证码,c) PhoneFactor给用户智能手机上安装的PhoneFactor应用推送一条通知,然后用户在应用上触碰“认证”完成认证过程。这个供应商给小型组织(最多25个用户)提供了一个免费版本。#p#
选择双重认证产品时要考虑的问题
双重认证技术可以帮助企业保护用户身份信息,降低企业环境中未授权访问和盗取身份信息的概率。此外,它也能够帮助企业符合法规标准和满足合规性要求。例如,PCI DSS 8.3规定:“员工、管理和第三方组织远程访问网络都必须使用双重认证。”
并非所有企业都必须符合PCI规范,但是PCI DSS被认为是一种基本要求,所以如果一些组织还没有应用双重认证策略,那么最好现在开始启动这个过程,当然先要评估供应商的技术。
在确定双重认证需求并开始规划项目时,组织应该考虑下面所列的建议:
◆理解企业IT环境——包括理解企业内部或外部用于访问信息或数据的技术,以及了解IT政策的应用方式和所采取的保护措施。例如,员工是否可以通过移动设备访问企业信息?或者,企业是否使用SaaS提供商托管的SaaS应用程序,以及这个SaaS提供商是否支持双重认证数据保护机制。
◆寻找目标用户——双重认证是否只应用于特定的业务部门,如销售或营销部门,或者也应用于远程作业和合作伙伴?一般而言,大多数组织只为VPN访问提供双重认证。要将实现范围限制在一些特定的用例上,至少是在早期阶段。
◆采用有利于控制风险的方法——有利于降低风险的技术,现在大多数组织都会选择。所以,当目标用户范围不明确时,只为那些访问关键业务信息或知识产权的用户提供双重认证,不论户是员工还是第三方人员,是从企业网络还是从远程位置访问这些信息。
◆避免不必要的开支和复杂性?——供应商不同,企业需求和规模不同,实现的总成本也不同。在确定成本时,要考虑用户数量、办公位置、企业的全球分布及支持与帮助台覆盖情况。#p#
实现双重认证的挑战
双重认证并不容易实现。例如,安全公司Duo Security最近报告了谷歌双重登录流程的一个严重问题。这个问题很快被修复,它源于谷歌在许多服务上使用的一个特性。尽管谷歌是一个互联网巨头,有非常先进的技术,但是它的实现也仍然会出现问题。
一定要知道,在任何组织中,大范围部署双重认证都是一项非常复杂的任务。但是虽然实现一个覆盖整个基础架构安全双重认证平台会遇到一些困难,但是事先了解可能出现的问题将有利于减小出现问题的概率。
例如,遗留的软件和服务必须经常为了双重认证重新调整,或者需要一个身份认证框架用于不同的内部或外部工具,才能在整个企业范围支持双重认证。有时候,双重认证框架的选择需要很多的定制,这往往要在软件架构真正开始实施整合时才能够确定。
双重认证也很可能会影响用户体验。他们可能认为,每次登录时都带一个可信设备或硬件是很麻烦的事情。所以,一些需要频繁访问的系统认证上,要允许用户选择跳过双重认证。
双重认证实现遇到的一些困难和问题,可以通过下面这些方法处理:
◆选择一个符合企业需求的方式。这些方法包括基于硬件/软件的令牌或者向智能手机发送短信(SMS)。地理位置集中的企业更愿意使用物理令牌,而工作场所不断变化的企业则喜欢使用基于软件的令牌或移动方法。
◆考虑使用分阶段方法。显然,一次性在整个企业范围实现可能会让一部分人不适应。同时,应用与系统拥有者会发现一次性迁移更容易实现。但是,这对于最终用户和帮助台支持人员而言则完全相反,他们不得不在迁移过程提供支持和解决问题。此外,这也会增加项目开支。
◆提供足够的用户支持。安装和配置后台服务器组件需要一定的时间,整合和测试应用程序也需要时间。自助服务、足够的培训和人员完备的帮助与支持团队,都是帮助用户适应这项技术并成功度过转变时期的重要条件。
双重认证正成为现代企业IT安全项目的重要组成,但是它在理解、实现和管理上有一定的复杂性和难度。组织必须认识到,只使用密码的传统认证机制本身不够可靠,可能无法再提供足够的安全控制。在现在充满威胁的环境中,必须应用双重认证,才能防止未授权用户访问重要企业系统,同时阻挡源源不断的危险攻击者。