隱私保衛(wèi)戰(zhàn):部署雙因素身份驗證
安全問題不斷,身份驗證引發(fā)熱議
RSA的安全泄漏事故,比之前向客戶公布的情況還要更嚴重,這次事故,4000萬個RSA Secur ID令牌必須更換。這次事故也引發(fā)了對雙因素身份驗證的廣泛討論。供應商們開始向RSA客戶提供有競爭力的產(chǎn)品,企業(yè)也正在決定是否應該繼續(xù)選擇RSA的解決方案。
現(xiàn)在市面上存在很多類型的雙因素身份驗證解決方案。最常見的部署是每隔60秒顯示任意號碼的物理令牌,例如RSA Secur ID。其他類型還包括用戶或者設備證書,通過短信驗證的身份驗證,以及圖像驗證,這主要是由一些金融機構在使用。
每個企業(yè)的雙因素身份驗證部署都有所不同。有些企業(yè)只為遠程訪問使用雙因素身份驗證,而一些政府企業(yè)則在桌面也使用雙因素解決方案。對于大部分企業(yè)而言,有一些關鍵區(qū)域必須使用雙因素解決方案,而有些區(qū)域則沒有必要使用。
很少有人會反對遠程訪問應該使用某種形式的雙因素身份驗證的觀點,然而,對于部署的方式則存在很多異議。有些企業(yè)通過證書、用戶名和密碼來驗證遠程用戶的身份。在這種情況下,用戶名和密碼可能僅用于遠程訪問,與證書相關聯(lián),或者某種專用于外部訪問的驗證系統(tǒng)關聯(lián)。
在其他情況下,用戶名和密碼就是Active Directory或其他集中的身份驗證系統(tǒng)。擴展內部身份驗證憑證到網(wǎng)絡邊緣并不是理想的方法,但是這種方法卻變得越來越普遍,這是因為企業(yè)需要支持越來越多新型移動設備,而這些設備并不支持證書,因此需要一種方式將身份驗證綁定到他們的中央賬戶數(shù)據(jù)庫,或者努力降低成本和精力。無論哪種方式,在這種用戶必須使用訪問內部資源的賬戶來進行外部身份驗證的情況下,必須采取一些步驟來保護這種賬戶。
第一個也是經(jīng)常被忽視的因素就是確保賬戶不能被暴力破解,也就是通過將用戶名和密碼身份驗證放在證書驗證前。開包即用(out-of-the-box)的遠程訪問解決方案是一款支持多種形式身份驗證的遠程訪問解決方案,包括包含LDAP的雙因素驗證。
不幸的是,供應商將LDAP驗證放在雙因素身份驗證之前,從而創(chuàng)造了一個賬號可能被暴力破解或者鎖定的機會。通過將雙因素驗證放在第一步,能夠從根本上消除隨機暴力破解賬戶的風險。
有些企業(yè)將雙因素身份驗證擴展到密鑰系統(tǒng)和應用程序。這樣做肯定會提高系統(tǒng)的驗證安全,但是這可能增加用戶的負擔或破壞其他功能。要求自動化操作來登錄的系統(tǒng)或應用程序可能會被攻破,必須配置為允許這些賬戶使用密鑰或密碼登錄。
為你的雙因素身份驗證建立了這個后門的話,任何知道如何通過這些賬戶進行身份驗證的人都可以進入,可能并不是惡意進入,只是涂個方便。所以企業(yè)應該通過IP規(guī)則、密鑰身份驗證、監(jiān)控等方法來緩解這個問題。
任何要求客戶端軟件裝在軟令牌、USB或訪問卡的雙因素身份驗證都增加了管理這種解決方案需要的支持。所有供應商都會說他們的解決方案具有非常低的支持要求,但是低并不等于沒有要求,而且可能現(xiàn)在是低要求,以后就變成高要求,因為操作系統(tǒng)升級或者配置更改等問題。
根據(jù)風險、成本和負擔等問題,在必要的系統(tǒng)和應用程序上使用雙因素驗證。
項目時間跟蹤應用程序中的登錄時間可能不需要雙因素身份驗證,但是訪問敏感系統(tǒng)就需要。在具有相同重要性和安全需求的系統(tǒng)的情況下,可能沒必要直接在眾多系統(tǒng)部署雙因素身份驗證,可以將網(wǎng)絡進行分隔,將這些設備放置驗證點后,例如內部SSLVPN網(wǎng)關,在這里雙因素驗證被用來獲取到網(wǎng)絡分割區(qū)的訪問,然后是標準驗證。
另外,內部系統(tǒng)和應用程序使用的雙因素身份驗證可能與外部驗證有所不同。很多企業(yè)使用密鑰來驗證系統(tǒng)服務,例如SSH。密鑰加密碼屬于一種雙因素驗證形式,這種形式是可以接受的,而不是整合SecurID或者其他雙因素身份驗證到每個系統(tǒng)以進行SSH訪問,這需要更高的支持成本,并需要驗證到外部服務器。
雙因素身份驗證產(chǎn)品選擇越來越多,各自有各自的優(yōu)缺點。了解企業(yè)的需要、風險和支持能力,對比所有解決方案,選擇最適合企業(yè)的解決方案。范圍和部署細節(jié)是確保正常工作和安全安裝的重要因素。
雙因素身份驗證的相關內容就與大家分享完了,不要認為任何開包即用(out-of-the-box)的解決方案是最好最安全的,但請記住,你必須使用這些解決方案,確保解決方案適合你的用戶,同時提供你需要的安全性。
【編輯推薦】
