三問移動身份驗證部署
雇員利用智能手機、平板電腦、上網本等移動設備可以便捷地遠程訪問公司的計算資源。但移動設備的使用有可能產生一些被攻擊者利用的漏洞或訪問敏感信息的弱點,從而損害安全性。因而,對于移動設備的遠程訪問,多數專家建議企業至少利用某種形式的雙重身份驗證(雙重認證)。
雙重認證無論對于用戶還是企業都是一個現實的難題,因為它增加了企業身份驗證的復雜性。如果實施不力,雙重認證未必比單重認證強健很多,有時反而會耗費更多的時間和資源。
下面將闡述為了設計、實施、部署可行且安全的移動設備雙重認證方案,企業IT需要注意的三大要領:
首先,企業要對所有的移動設備尋求單一的解決方案。
不妨考慮一下用于工作場所的不同移動設備類型;筆記本電腦、上網本、智能手機、平板電腦等,其品牌眾多,更別說其中還分為企業發給員工的設備和員工個人自己帶來的(BYOD)。
有些用戶可能使用企業發的筆記本電腦,同時還帶著個人的平板電腦、智能手機等。要求這些用戶對每一種設備都使用不同的雙重驗證是不現實的。不妨設想一下,員工需要帶著不同的加密令牌,還要記住幾個不同的口令或PIN,并且要記住哪些令牌和PIN適用于哪種設備。
為實現可用性,IT應該針對所有移動設備,考慮使用單一的遠程認證方案。企業自有的筆記本電腦可以例外,當然,企業自有的這些設備最好是擁有內置的雙重認證功能(如智能卡或生物識別閱讀器)。如果企業能夠避免使用多種雙重認證系統,那么操作處理將會更平滑。
其次,不要忘了移動設備和網絡的安全性。
移動設備(尤其是智能手機和平板電腦)一般都缺乏其它計算設備所擁有的安全特性。然而,許多雙重認證方案主要依賴移動設備的安全性來實現認證的安全性。
例如,軟件加密令牌將共享密鑰或加密密鑰存儲在移動設備上。在很多設備上,這種密鑰基本沒有得到防御惡意軟件或人為發現的保護。理想情況下,這種密鑰應當存儲在移動設備中的可信任平臺模塊(TPM)內部,但仍有一些移動設備并不支持可信任平臺模塊(TPM)。因而,實施不依賴本地存儲的雙重認證方法(例如,基于圖像的認證)是明智之舉。
網絡安全是需要考慮的另一個問題。我們一般都會想當然地認為手機網絡不會受到監視,但攻擊者當然有能力這樣做。這意味著以明文方式發送敏感信息的雙重認證方法(如通過短消息發送的一次性口令)有可能將這種信息暴露給攻擊者。
企業應考慮針對遠程訪問方法的威脅,如果有必要,要對通過移動設備發送或接收的所有敏感信息進行嚴格加密。
第三,防御蠻力攻擊和拒絕服務攻擊。
在使用雙重認證時,企業IT不應同時驗證兩個因素,而應首先驗證一個因素。如果此驗證成功,再去驗證第二個因素。這種做法可以防止蠻力攻擊、拒絕服務攻擊和包含多次登錄企圖的其它攻擊。
例如,如果第一個認證因素是用戶名和口令,就易于被鎖定,攻擊者可以輕松地在遠程訪問網關猜測用戶名和口令的組合,并且鎖定合法的用戶賬戶。如果是其它因素第一認證,攻擊者就必須在嘗試用戶名和口令認證之前提供此認證。
換言之,用戶名和口令認證應當能夠對抗蠻力攻擊和拒絕服務攻擊。完成此功能的一種有效方法就是在認證嘗試期間實施一種遞增延遲。例如,在一次認證嘗試失敗后,要讓用戶等待兩秒鐘才能再次嘗試。如果第二次嘗試失敗,就將延遲時間增加到四秒。第三次嘗試失敗,則增加遲延時間為八秒,依此類推。這種做法可以防止賬戶被攻擊者鎖定,同時又可以使認證嘗試的次數達到最小化。監視軟件應當檢測連續的認證嘗試,并且通知管理員進行干預。
