受眾

弱身份驗證是信息系統的常見漏洞 ，一直是CISA在聯邦高價值資產系統中發現的五大，最常見的發現之一。此外，2019年Verizon數據泄露調查報告指出，受損密碼仍然是違規行為的“突出固定裝置”。 在整個組織中實施強身份驗證方法可以顯著提高抵御常見網絡安全威脅(如網絡釣魚攻擊和憑據泄露)的彈性。

雖然本指南引用了聯邦標準和出版物，但它沒有映射到任何機構，也沒有直接與任何機構相關聯。這些建議適用于任何尋求改進其身份驗證過程的組織。

目的

本指南的目的是闡明身份驗證的概念，推薦相關的安全增強功能，并提供指導以幫助規劃和實現強身份驗證解決方案。強身份驗證是縱深防御網絡安全戰略的眾多支柱之一，但它并不是網絡安全問題的唯一解決方案。

概念

身份驗證是驗證用戶身份是否真實的過程。大多數系統要求用戶在授予對系統的訪問權限之前進行身份驗證。用戶通過輸入密碼，插入智能卡并輸入關聯的個人標識號(PIN)，提供生物識別(例如，指紋，語音模式樣本，視網膜掃描)或這些東西的組合來證明他們是他們聲稱的人來做到這一點。將提供的憑據與以前與用戶關聯的憑據進行比較。憑據匹配可以在正在訪問的系統內執行，也可以通過受信任的外部源執行。如果憑據匹配，系統將驗證身份并授予訪問權限(請參閱圖 1)。

.圖 1：身份、身份驗證和訪問之間的關系

身份驗證方法

不同的系統可以實現不同的身份驗證方法來驗證用戶的身份。身份驗證方法可以分為三個因素：

• 您知道的東西 (知識)

示例包括密碼、密碼或 PIN

• 你擁有的東西 (占有)

示例包括智能卡、令牌、查找機密、一次性密碼設備或加密 設備

• 你是某物(遺傳/身體 特征)

示例包括指紋、虹膜、面部特征、語音模式或 步態

單因素身份驗證是一種常見的低安全性身份驗證方法。它只需要一個因素(例如用戶名和密碼)即可訪問系統。(盡管它包含兩條信息，但用戶名和密碼組合仍然是一個因素，因為它們都來自同一類別。

多重身份驗證 (MFA) 是一種強身份驗證方法。它需要兩個或多個因素才能訪問系統。每個因素必須來自上面的不同類別(例如，您知道的東西和你擁有的東西)。當使用兩個因素時，MFA 可以稱為雙因素身份驗證或 2FA。

Google、紐約大學和加州大學圣地亞哥分校進行的一項研究表明，實施 MFA 對組織抵御惡意攻擊有了顯著的改進。該研究發現，使用MFA阻止了100%的自動化機器人，99%的批量網絡釣魚攻擊以及66%針對用戶Google賬戶的針對性攻擊。

保證級別

不同的身份驗證方法具有不同的保證級別，具體取決于進程的穩健性以及標識是它們所聲稱的身份的可信度。組織可能會確定，為不包含敏感信息且未連接到與包含敏感信息的系統連接到同一網絡的系統實施更高保證級別的成本不值得。有關保證級別的詳細信息，請參閱美國國家標準與技術研究院 (NIST) 特別出版物 (SP) 800-63-3 數字標識指南3 和相關標準，4 其中描述了身份驗證保證級別，并提供了一種基于風險的方法來選擇適用于給定系統的身份驗證強度。

問題

單因素身份驗證 - 每個人都使用密碼。他們真的那么糟糕嗎?

單因素身份驗證(通常意味著用戶名和密碼)為攻擊者提供了一種訪問系統的簡便方法。

由于密碼只是數據，攻擊者可以使用許多不同的技術來竊取密碼而無需實際存在，包括：

• 暴力 破解攻擊
• 明文密碼 存儲
• 網絡釣魚
• 憑據 轉儲
• 鍵盤記錄
• 網絡嗅探
• 社會 工程學
• 惡意軟件

圖 2：密碼模式使用示例

弱密碼(例如，制造商的默認密碼或遵循某種模式的密碼 [見圖 2])使攻擊者更容易破壞密碼。其他不安全的做法可能會加劇泄露的密碼可能對組織產生的影響。

• 密碼重用允許泄露密碼的攻擊者訪問多個系統、網絡或數據集。組織可以阻止 密碼重用，但沒有技術控制可以阻止用戶跨多個系統重用密碼。無法防止密碼重用會使攻擊者可以使用已泄露的密碼來訪問其他系統。
• 管理員密碼共享使 具有提升訪問權限的特權(管理)賬戶更有可能受到損害;管理密碼通常被寫下來，位于多個人有權訪問它的地方，簡化以使其更易于記憶，并且即使在人們離開組織后也不會頻繁更改。一旦受到威脅，管理密碼就會向攻擊者授予跨網絡和/或跨多個系統的提升訪問權限。

添加另一個身份驗證因素(即，您擁有的東西或您擁有的東西)會大大增加破壞賬戶的難度，因為妥協現在需要用戶的物理存在或擁有物理對象(如智能卡)。

具有最弱身份驗證方法的資產成為繞過其所連接的系統的更強身份驗證的潛在路徑。如果有大型打開的窗戶，帶有鋼筋門和精密鎖的混凝土和鋼結構建筑仍然很容易被入侵者進入。

若要獲得 MFA

功能的全部好處，組織應確保跨所有系統、應用程序和資源實現它。要求多因素身份驗證以獲得對組織網絡(通常是用戶的工作站)的初始訪問權限是很好的第一步;但是，這僅對組織內僅使用單因素身份驗證保護的其他系統和數據提供有限的保護。威脅參與者可能會尋求利用受保護程度較低的系統，然后移動到其他系統并繼續其惡意操作。

網絡分段也可能降低攻擊者在整個網絡中移動的能力，但依賴單因素身份驗證的賬戶仍然容易受到損害，并且是最薄弱的環節。

能做些什么?

規劃階段

戰略規劃

在所有系統、應用程序和資源上實施 MFA 可能具有挑戰性且成本高昂。當單獨訪問時，每個都需要自己特定的方法來驗證用戶的身份(例如，必須頒發，管理和撤銷多個憑據)。因此，通過采用組織范圍的方法并將解決方案作為企業服務實現，而不是嘗試為每個應用程序實現冗余、隔離的身份驗證解決方案，組織在實現身份驗證方面將最有效。

組織范圍的策略允許身份驗證策略和做法的標準化，包括頒發和管理必要的憑據，并降低每個應用程序獲取或構建自己的身份驗證解決方案的成本。組織應檢查其現有功能，以確定他們是否已經具有在整個組織中提供 MFA 的可行解決方案。例如，聯邦機構為用戶提供了基于個人身份驗證(PIV) 的身份驗證。其用戶賬戶通過大型商業提供商進行管理的組織可能能夠利用其服務提供商已提供的 MFA 功能。當前沒有可用 MFA 功能的組織應采購或設計 MFA 解決方案。

在決定 MFA 解決方案時，組織應考慮以下事項。

• 用戶對網絡或系統的初始身份驗證
• 在用戶訪問其他系統、應用程序或新的基礎架構段時進行其他身份驗證
• 對外部托管資源的身份驗證
• 外部實體對內部資源的身份驗證

組織決定使用企業 MFA 解決方案后，可以通過單點登錄 (SSO) 和聯合身份驗證服務擴展身份驗證功能。SSO和聯合身份驗證可在組織、系統、應用程序和資源之間安全地共享身份驗證和身份信息，而無需在每個系統上單獨實現 MFA 功能。許多系統都配備了用于 SSO的連接器。SSO和聯合身份驗證通過將對資源的訪問控制權交到中央身份管理管理員手中來增強組織的安全性，這允許組織在用戶離開或賬戶受到威脅時快速、全面地撤銷對其所有資源的訪問權限。這些步驟簡化了標識生命周期的管理(包括頒發給用戶的各種憑據)，并幫助確保在用戶離開時立即撤銷整個組織的訪問權限。

另一個好處是簡化了用戶體驗 - 用戶不再需要跟蹤數十個憑據 - 同時將組織漏洞減少到用戶管理多個憑據的方式的弱點。

單點登錄

SSO 是一種身份驗證方法，其中用戶向集中式 SSO 解決方案進行身份驗證一次(通常使用組織選擇的強 MFA 身份驗證解決方案)。其他系統和應用程序配置為信任 集中式 SSO 解決方案對用戶進行身份驗證，而無需進一步交互(請參見圖 3)。這減少了對多個系統和服務重復進行身份驗證的需要。最重要的是，當用戶通過 SSO 從其初始身份驗證移動到其他系統時，該用戶對初始系統的憑據不會與其他系統共享。用戶進行身份驗證后，SSO 解決方案將透明且安全地完成所有相關系統的過程，而無需進一步公開初始系統憑據。此外，每個應用程序都不需要管理自己的身份憑據存儲，而是利用整個組織中的集中式存儲。

。

圖 3：通過 SSO 解決方案預配了具有訪問權限的中央組織范圍標識可跨內部和外部資源保護 MFA 網絡登錄的安全性。

注意：某些 SSO 提供商可能仍會使用其他系統的用戶名/密碼向該系統進行身份驗證;組織應確保在連接到資源的每個步驟中都使用強大的、非基于密碼的協議設置其 SSO 解決方案。存在將 SSO 功能合并到組織的基礎結構中的多個技術選項。選擇 SSO 解決方案時，組織應考慮單一注銷功能(在用戶注銷時終止所有打開的和活動的會話)，以最大程度地降低會話劫持的風險。

聯合身份驗證

盡管聯合身份驗證本身并不是弱身份驗證的解決方案。它可以為改進身份驗證提供實質性的間接支持。聯合身份驗證是指在管理自己的用戶、身份和身份驗證的多個組織之間建立受信任關系，以便接受彼此的用戶。組織應僅與它們信任其身份審查和身份驗證過程的其他組織聯合。例如，兩個組織管理自己的用戶、標識和身份驗證，然后在其系統之間建立連接，以減少外部用戶使組織容易受到攻擊的弱身份驗證點。例如，假設Acme Anvil Co.和Coyote Missile Co.有一個重疊的任務，要求Acme Anvil與Coyote Missile共享信息，但每個組織已經在自己的身份商店中管理其員工的身份。Acme Anvil 可以選擇與 Coyote Missiles 身份存儲建立信任關系，以授權訪問 Acme Anvil 系統，而不是使用資源對需要訪問信息的 Coyote Missile 員工執行新的背景調查，而是選擇與 Coyote Missiles 身份存儲建立信任關系，因為 Coyote Missile 已經對個人進行了背景調查并確定了他們的身份(見圖 4)。

圖 4：Acme Anvil 的用戶可以使用 MFA 安全地登錄到其公司工作站，并通過安全的聯合身份驗證訪問由其供應商 Coyote Missile 托管的應用程序，而無需登錄名或密碼。

因此，聯合身份驗證可以將組織的強身份驗證和 SSO 功能進一步擴展到其用戶訪問的受信任組織擁有的系統，反之亦然。需要與其他組織的用戶共享資源的組織可以使用受信任的聯合身份用戶標識，而無需復制這些用戶的身份證明或身份管理。如果沒有聯合身份驗證，則與其他組織共享的任何資源的身份驗證和身份存儲必須與其主身份存儲分開配置和管理，這會增加復雜性。

知道何時繼續前進

組織可以識別包含強身份驗證的資源，這些資源將被證明過于昂貴或技術復雜。如果發生這種情況，組織必須在以下兩者之間做出決定：

1)保持當前系統并實施補償控制以解決組織面臨的風險;或

2) 遷移到新的現代化系統，允許與強身份驗證解決方案集成。組織應權衡每個選項的成本和風險。

注意：盡管超出了本文檔的范圍，但除了遷移到更新技術在做出決策時將提供的強身份驗證之外，組織還應考慮性能和安全優勢。

其他戰略考慮因素

特別是對于大型組織，有關約束性策略、職責和預算的非技術注意事項可能是相關的。如果信息系統不是由中央辦公室或首席信息官(CIO)管理和控制的，就有必要與擁有這些系統的不同辦公室進行更多的接觸和協調，以符合本組織的總體戰略。同樣，如果組織的信息技術 (IT) 預算未集中管理，則組織可能需要考慮如何從組織的每個元素中恢復實現和操作強身份驗證、SSO 或聯合身份驗證組件的成本。

雖然自動系統到系統連接并不嚴格在本指南的范圍內(并且 MFA 不是服務器憑據的選項)，但它們仍然通過提供“非個人賬戶”來訪問系統來打開攻擊途徑。如前所述，當任何形式的弱身份驗證與缺乏有效的網絡分段相結合時，可以進一步利用此弱點在網絡中移動，從而破壞在其他地方實現的強身份驗證的好處。組織可以通過使用強憑據(安全套接字層 [SSL] 證書)、加密通信以及特定于應用程序或 IP 地址允許列表來保護這些連接，從而刪除此路徑，以便攻擊者繞過對系統的強用戶身份驗證。

戰術規劃

戰術規劃涉及發現當前狀態環境，確定待定狀態，并制定過渡計劃以執行經濟高效的方法遷移到目標狀態。

要解決弱身份驗證問題，必須 1) 了解“原樣”狀態，2) 可用功能，以及 3) 了解 實現 所需狀態 所需的內容。 在規劃和進行這些企業改進工作時，必須避免分析癱瘓。尋求100%的知識或保證(完美)，無論是針對當前還是未來狀態，都會抑制基于可用(足夠好)信息的漸進式改進。

了解“按原樣”狀態

1.對當前應用程序和系統進行編目。

2.確定有權訪問系統或應用程序的用戶和用戶組，包括與您共享數據的合作伙伴和外部利益干系人。

3.對與合作伙伴共享的數據的性質進行編目，因為保護敏感數據的需求可能會影響協議和體系結構方面的考慮。在交換敏感數據的情況下，可能需要有關用戶的更詳細信息才能強制實施最小特權訪問。對于敏感數據只是系統中數據的子集的系統尤其如此(并且組織不希望在非敏感數據上產生額外安全性的財務或效率成本)。

4.確定每個用戶對每個應用程序或系統的身份驗證方法。

5.標識每個系統或應用程序支持的身份驗證協議。

6.確定體系結構的支持元素(例如也需要保護的自動系統到系統連接)，以確保輔助元素的配置不會引入漏洞。

確定當前功能

1.確定組織內現有的 MFA 功能，例如 PIV 卡身份驗證。

2.評估用于執行加強身份驗證的計劃的購置或預算選項，并結合與廣泛采用強身份驗證的策略相一致的成本回收策略。

3.確定可提供 MFA 功能的應用程序的現有資產或許可證。

4.評估要與強身份驗證解決方案集成的系統或應用程序的許可協議。支持強身份驗證方法或強

SSO/聯合協議可能需要額外的許可證或來自應用程序的不同類型的許可證才能得到保護;這些許可證與強身份驗證解決方案或SSO/聯合解決方案本身的成本是分開的。了解端到端的實施成本將為總體擁有成本提供信息，并支持有關經濟高效的風險管理的決策。

5.確定具有實施 MFA 功能經驗的當前人員。

了解“未來”狀態

1.選擇最適合您的環境和法規要求的強身份驗證解決方案(例如，某些身份驗證解決方案可能適用于本地體系結構，但可能不適用于云體系結構)。

2.定義用戶將如何對網絡、每個后續系統和應用程序以及外部托管資源進行身份驗證;定義外部用戶如何向內部資源進行身份驗證。

3.確定哪些系統和應用程序將集成到 SSO 解決方案中。

4.確定要與哪些組織建立受信任的聯合身份驗證。

5.為具有不同身份驗證強度的系統設置邊界，并確保來自較弱身份驗證系統或用戶的連接不允許對受較強身份驗證保護的系統進行弱身份驗證訪問。注意從安全性較低的環境到更安全環境中的系統跨越邊界的系統到系統之間的連接。

6.在完全部署計劃的強身份驗證解決方案時設計目標體系結構。包括 身份驗證解決方案將支持其他組織安全做法(如網絡分段)的位置。

過渡計劃

1.制定過渡計劃和計劃，從“原樣”狀態到定義的“準” 狀態。

a.使用風險管理策略確定用戶和應用程序的優先級，以便將其載入解決方案。

b.在系統或應用程序中具有提升權限的用戶對于載入最為關鍵，那些對交付業務任務、核心組織功能或包含敏感數據至關重要的系統或應用程序也是如此。

c.確定組織最關鍵的系統和資產的優先級，這些系統和資產具有最弱的身份驗證。

2.如果要使用與其他組織的受信任聯合身份驗證，請確定如何在不對其當前訪問產生負面影響的情況下轉換這些用戶 。

3.針對代表性系統測試遷移計劃 。

執行階段

在此階段，您的組織使用在規劃階段獲得的項目執行強身份驗證。在執行過程中，時間表和其他工件可能需要根據“地面條件”和經驗教訓進行調整。因此，正在考慮的調整應經歷與規劃階段對工件相同的嚴格程度。下面的名義時間表可以根據工作的規模和范圍進行調整。

短期行動

1.根據組織的體系結構分析和風險管理確定來采購或設計強身份驗證解決方案。

2.獲取實施規劃階段定義的過渡計劃所需的硬件、軟件和許可證(包括 SSO 解決方案)。

3.從集中式身份治理管理點識別和編目用于管理用戶的業務流程。

4.開始為 組織的特權用戶 及其轉換計劃中定義的最高價值系統和資產實施強身份驗證。

5.將 評估 系統身份驗證與組織解決方案兼容性的標準 納入組織對擬議收購或新系統的審查中。

中期行動

1.繼續將系統遷移到強身份驗證系統。

2.利用強身份驗證解決方案的初始實現連接到 SSO 解決方案。

3.將身份驗證從現有系統和應用程序轉換到 SSO 解決方案。

4.在采購新購置或建議的系統之前，評估這些系統，以確定與組織的強身份驗證解決方案的兼容性。

長期行動

1.繼續將系統遷移到強身份驗證系統。

2.與其他組織建立聯合身份驗證的信任關系。

3.載入非個人實體，如服務賬戶。

4. 通過定期審查和更新 需求、策略和參考體系結構，實現持續改進。

總結

通過 MFA 進行強身份驗證是一項關鍵且有時成本高昂的投資，但應跨所有網絡、系統、應用程序和資源實施，以充分保護組織。因此，建議采用組織范圍的方法。在整個組織中擴展 MFA 功能的一種方法是通過 SSO 解決方案。除了為組織的資源提供更好的安全性之外，SSO 解決方案還改善了用戶體驗，因為它消除了記住密碼或管理每個系統和應用程序的多個憑據(如 RSA 令牌)的需要。在企業級別實現的 SSO 解決方案還可以消除系統所有者花費資源來管理自己的身份驗證解決方案的需要。SSO 解決方案就位后，組織可以通過與其他組織聯合身份驗證來進一步擴展強大的身份驗證功能。通過將這些概念和其他戰略考慮因素納入對其“原樣”狀態的評估中，組織可以定義他們想要的“未來”狀態，并制定實現目標的計劃。