人们需要了解选择多因素身份验证解决方案时的关键考虑因素以及采用这些解决方案的原因。
如今的基于凭证的网络攻击要复杂得多。无论是网络钓鱼技术、凭证填充,甚至是通过社交工程或第三方服务破坏而泄露的凭证,凭证很容易成为企业安全系统最薄弱的一点。这些网络攻击都是针对传统凭证、用户名和密码的,而作为一种合法的安全措施,这些凭证、用户名和密码已经过时。增强访问安全性的一个有效方法是多因素身份验证。
安全专业人员需要进行安全控制。在物理安全方面,通常是通过限制入口来实现的,安全人员检查身份凭证或采用金属探测器对进入者进行探测。在互联网和基于网络的应用程序爆发式增长之前,单一的数字入口点是企业目录。员工使用一组凭据对企业资源进行身份验证,然后可以访问业务应用程序。
如果没有专门的工具来维护安全状态,现代基础设施和基于Web的业务应用程序使维护这个单一入口点变得更加困难。多因素身份验证显著增强了身份验证过程,其中第一个是附加因素本身:智能手机、硬件多因素身份验证令牌或基于SMS或电子邮件的身份验证代码。身份验证过程不再依赖于用户名和密码等基于安全知识的元素,这些元素可能会被网络钓鱼或其他恶意技术破坏。利用其他多因素身份验证的身份验证尝试需要用户与注册设备或硬件设备进行交互,从而最大限度地减少用户名和密码泄露的影响。
选择多因素身份验证解决方案
任何安全措施都有一个棘手的部分,那就是让最终用户感到便捷或者高效。企业能做的最糟糕的事情就是提高安全要求,以至于用户不能(或不会)访问企业资源,或者他们想办法绕过并破坏企业已经实施的安全措施。
多因素身份验证是选择身份验证提供程序时的一个关键特性。安全管理系统(SMS)和基于电子邮件的安全代码是比较低级的安全措施,但总比没有好,需要考虑这些因素是否提供需要的安全级别。电子邮件和安全管理系统(SMS)都可能容易受到攻击。诸如基于时间的一次性密码(TOTP)之类的多因素身份验证标准通常得到Google Authenticator等身份验证应用程序的支持,但最终取决于身份验证服务和用户身份验证设备都知道的单个身份验证令牌。许多多因素身份验证提供商依赖专有协议,这些协议使用推送通知到注册的移动设备来提供强大的安全性和便捷的身份验证流程。
多因素身份验证提供商提供了增强身份验证安全性的附加工具和功能。如果实施得当,多因素身份验证服务可以帮助企业实现跨各种应用程序和企业资源的单一身份验证焦点。拥有这一身份验证流量中心点让企业可以实现其他功能,如改进的日志记录和分析、身份验证策略,甚至人工智能和基于风险的条件访问。
选择多因素身份验证解决方案时要考虑的另一个方面涉及企业希望保护的资源类型。Office365、Google Workspaces或Salesforce等云计算应用程序显然是多因素身份验证的目标,而且很容易获胜。企业虚拟专用网是多因素身份验证的另一个常见用例,虚拟专用网本质上是企业网络的网关,至少应该像对企业设施的物理访问一样受到保护。将多因素身份验证与内部或自定义业务应用程序结合使用是一个艰难的胜利,并且在很大程度上取决于企业希望保护的应用程序的成熟度。最后,有充分的理由实施多因素身份验证以对企业桌面和服务器进行身份验证,尤其是在越来越多的用户在家远程工作的时代。
与企业使用多因素身份验证保护的资源结合在一起的是将这些资源与企业现有的身份存储库联系在一起所需的基础设施。无论企业的用例如何,很有可能希望将其多因素身份验证提供商与企业的身份存储库联系起来。这通常涉及与本地轻量级目录访问协议(LDAP)目录的集成。许多多因素身份验证提供商使用安装在本地网络上的软件代理或通过LDAPS(LDAPoverSSL)来执行此操作。
在特定于用例的基础设施方面,云应用程序通常会轻松获胜,因为许多应用程序使用安全断言标记语言(SAML)等标准无缝集成。大多数虚拟专用网解决方案支持与远程身份验证拨入用户服务(RADIUS)的集成,该服务可用于将身份验证传送到现有的RAD IUS服务器,然后传送到多因素身份验证提供商,或者在某些情况下可以使用标准直接与企业的多因素身份验证提供商通信RADIUS协议。自定义或内部托管的业务应用程序可能需要通过API与多因素身份验证提供商进行交互,或者可能会利用SAML。台式机和服务器的多因素身份验证需要在每个端点上安装软件才能将自身插入到身份验证工作流程中。
八种优秀的多因素认证产品
多因素身份验证细分市场是买方市场。有一些非常可靠的产品,每种产品都具有全面的功能集和相当多的灵活性。以下是八种优秀的多因素认证产品。
(1) Cisco Duo
Duo是多因素身份验证中的主要品牌之一。它具有Duo Push中更流行的基于推送的多因素身份验证选项。Duo还与企业设备上的生物识别因素紧密集成,通过确认注册用户拥有设备来提供额外的安全性。
(2) ESET Secure Authentication
ESET公司以其反恶意软件和端点保护产品而闻名,ESET Secure Authentication是一个功能齐全的多因素身份验证解决方案,其功能集可与其他的解决方案相媲美。该解决方案支持虚拟专用网和RADIUS;基于浏览器的管理控制台;与现有LDAP目录或基于云的身份存储集成;灵活的多因素身份验证因素,例如推送通知或硬件令牌。ESET甚至为希望将其应用程序与服务更紧密地集成的企业提供API和SDK。
(3) HID Approve
HID Global与RSA是大型企业和政府中较为成熟的实体之一。事实上,由于其物理安全解决方案(感应卡/刷卡和读卡器),HID甚至在多因素身份验证成为主流之前就已经有了重要的立足点。由于计算机系统的企业身份验证要求已经成熟,HID已做好充分准备以满足其企业客户的需求。
除了硬件和智能卡解决方案之外,HID在HI DApprove中还有一个基于软件的可靠多因素身份验证解决方案,可以在不需要硬件投资的情况下进行快速部署。HID Approve支持推送身份验证和安全策略,该服务具有运行时应用程序自我保护(RASP),可以监控身份验证尝试,并帮助防止动态攻击。
(4) LastPass MFA
LastPass以其密码管理器而闻名,但由于多因素身份验证是身份验证安全领域的近亲,LastPass也将参与该领域是有道理的。事实上,LastPass为其密码管理器和LastPass MFA使用相同的LastPass身份验证器移动应用程序,这是一件好事。LastPass MFA服务支持上述所有用例:虚拟专用网、Web应用程序、桌面、本地应用程序,并与AzureAD和Okta等常见身份管理平台紧密集成。
(5) Okta Adaptive MFA
出于多种原因,Okta一直是身份验证领域最热门的解决方案之一,这主要是它在其工具组合中的强大功能。Okta Adaptive MFA从一个安全平台开始,该平台使用从先前攻击中收集的数据(针对Okta服务和第三方威胁数据的攻击)自动防止身份攻击。Okta还可以利用威胁数据对合法身份验证尝试所涉及的风险进行评分,以动态管理对更强大身份验证因素的需求。
除了基于主动分析的防御之外,Okta还支持用户简化威胁报告,然后可以触发向管理员发送通知或自动缓解措施。使用Okta作为多因素身份验证服务还提供了广泛的选择和灵活性,以满足身份验证需求。
(6) RSA SecurID
RSA是多因素身份验证领域的另一个行业先驱。带有旋转数字键的RSA硬件令牌是用于保护企业虚拟专用网和远程访问的原始多因素身份验证解决方案之一。其悠久的历史加上与Okta相媲美的安全产品组合,使RSA成为帮助企业对关键业务资源进行安全身份验证的一个理想选择。RSA SecurID不仅支持基于移动和硬件的身份验证因素,它们还支持无缝身份验证路径,即使用户没有互联网服务(例如在飞机上)。RSA还支持基于风险的动态身份验证策略,以平衡对额外安全性的需求和对最终用户有效身份验证过程的需求。
(7) Silverfort
Silverfort是一个人们之前可能没有听说过的名字,但他们的多因素身份验证产品也是在必备清单上的。异常行为检测、基于模式的威胁检测和基于风险评分的升级身份验证因素只是Silverfort提供的一些功能。Silverfort提供能够对常见的管理工具(如远程PowerShell会话、远程桌面和SSH)实施多因素身份验证的功能。
(8) Twilio Authy
Twilio Authy是一项已经存在了一段时间的服务,尽管并不总是在Twilio的保护伞下。正如对Twilio提供的身份验证服务所期望的那样,Twilio Authy的主要卖点是通过由大量文档和社区支持的强大API实现的灵活性。Authy不同于这一列表中的其他一些即插即用解决方案,但如果企业需要一个高度灵活和可扩展的自定义业务应用程序解决方案的话,它可能正是企业需要的服务。