MFA基礎:企業中的多因素身份驗證
多因素身份驗證(MFA)是一種IT安全技術方法,它的出現要早于Web本身,這種技術方法要求人們提供多種形式的身份識別或信息來確認其身份的合法性,以進行在線交易或者獲取對企業應用的訪問權限。使用多因素身份驗證的目的是提高攻擊難度,讓攻擊者不能輕易利用登錄過程來自由訪問個人或企業網絡以及感染電腦來竊取機密信息,或者其他更糟糕的情況。
簡單地說,多因素身份驗證利用只有每個用戶自己擁有的東西(指紋、聲紋、密鑰卡、安全代碼或者智能手機上的軟件),并結合另一種因素,即用戶知道的東西(例如往常的用戶名/密碼登錄對話框)來證明他或她的合法身份。
多因素身份驗證曾被稱為雙因素身份驗證,但現在有很多不同的因素可以用于提供額外的安全性,前者已經超越后者成為首選術語。很多IT人員可能還記得生物識別手掃描儀,該設備用于保護很多數據中心的入口點,也是他們接觸的第一個這種類型的設備。
MFA令牌:從密鑰卡到智能手機
在十多年前多因素身份驗證的早期階段,針對移動員工的一次性密碼生成器開始流行,它是采用密鑰卡的形式,其中有一個小的液晶顯示屏和按鈕。當用戶按下該按鈕時,密鑰卡上的屏幕會顯示30秒的序列號。然后用戶必須在這段時間內準確輸入這個序列號到他們試圖訪問的應用或資源。這些密鑰卡生成的序列號會由企業網絡中的服務器進行檢查以確保它們相匹配。該服務器運行身份管理程序、設置各種安全政策以及連接令牌到用戶目錄存儲(例如Active Directory或RADIUS)。
如果輸入的數字序列相匹配,用戶則被允許訪問。如果不匹配,他或她必須通過再次按下密鑰卡的按鈕來生成一個全新的密碼。雖然這些令牌在早期是很好的多因素解決方案,并且,某些地區仍然在使用這種做法,但現在密鑰卡被認為是有些過時的技術。它們也不是完美的:舉個例子,今年早些時候,高級網絡釣魚攻擊Emmental(在Swiss cheese之后)結合了流氓證書與對雙因素身份驗證登錄的中間人攻擊。
另外,追蹤令牌(例如密鑰卡)也是很麻煩的事情,并且,用戶在需要登錄到某處時可能所需令牌沒在手邊。此外,當用戶離開公司或者密鑰卡丟失時,還需要停用來終止訪問。
這些問題的答案?智能手機
很多智能手機應用可以像密鑰卡一樣生成一次性密碼,并可以幫助緩解上述問題。而且,隨著蘋果和谷歌添加指紋傳感器到其手機,第二個因素可以超越簡單的一次性數字密碼來從智能手機的內置掃描儀識別用戶指紋的數字拷貝。
智能手機和其他移動設備提供的其他類型的第二因素包括SMS文本、電子郵件和攝像頭來掃描QR代碼,當用戶試圖登錄到應用或資源或進行交易時QR代碼會顯示在網頁上。
MFA吸引力日益增加
由于密碼已經變得不安全,多因素工具的應用范圍有所擴大,從原來的核心IT人員擴展到很多大型企業的每個員工,特別是涉及個人信息時。它們也超越了最初的身份管理工具,目前在單點登錄產品也很常見。
除此之外,隨著軟件即服務網絡服務的發展以及重復使用密碼次數的增加,多因素方法已經變得越來越重要,并越來越吸引著中小企業。同時,Facebook、LinkedIn、Twitter、Gmail、蘋果和很多其他供應商已經采用這些工具來保護自己的登錄信息。
如果企業還沒有使用和支持多因素工具,他們會發現他們需要一些努力來配置和部署這些工具。這些工具有很多移動部件,企業將需要其IT部門的各個領域的專家來協調和配置基礎設施,讓受保護登錄正常工作。
雖然現在新的多因素身份驗證工具比較容易管理,但它們仍然涉及一些整合工作。為此,其中有些工具包括各種軟件代理,可以保護VPN、SharePoint服務器、Outlook Web Access和數據庫服務器等。
最后,一個相對較新的發展是將傳統基于硬件的內部多因素服務器轉移到云計算。大多數多因素解決方案供應商同時提供這兩種選項,并且,他們越來越多地看到客戶選擇異地部署,主要是因為云計算在支持和管理方面提供的靈活性。
MFA的成本
部署多因素身份驗證解決方案的典型成本是每個月每令牌幾美元。然而,對于有很多用戶或令牌或兩者皆有的企業而言,這可能意味著每年幾萬美元的成本。
讓問題更復雜的是,每個供應商采用不同的方法來計算底線價格:批量折扣、多年價格間斷和24x7的支持費用。有些按每個令牌來計費(軟或硬令牌有不同的費率),而有些則是按每個用戶或每臺服務器收費。有些供應商還添加了附加組件或整合層的價格。
當然,多因素身份驗證工具值得冒這個險,特別是隨著密碼漏洞利用的數量不斷增加并搶占頭條新聞。企業需要更好的方法來保護用戶登錄信息,不能只是使用簡單的用戶名/密碼組合。
目前我們看到多因素身份驗證技術正被用于越來越多的領域,看看各種消費級SaaS和社交媒體服務的部署數量就知道。強大的多因素身份驗證產品和用戶對加強身份驗證重要性的認識意味著,現在是企業考慮雙因素身份驗證的最佳時期。
