访问受保护的资源时,需要使用凭证信息对数据存储进行身份验证。它包括一个声称的身份和一个与之相关的秘密。传统的认证方式是使用简单的用户名和密码,这也是目前最常见的认证方式。遗憾的是,用户名/密码身份验证已被证明很容易受到网络钓鱼和凭证黑客的攻击。由于密码难以记忆,人们往往会选择一个简单的密码,并在各种在线和云服务中重复使用。这意味着,当某一服务上的凭据被黑客入侵后,恶意的外来者会在其他个人和专业数字服务上对其进行测试。
多因素身份验证(MFA)要求用户在访问应用程序、数据存储或专用网络等特定资源之前,提供两种或两种以上的验证方法,旨在防范上述威胁和其他类型的威胁。
因素 "一词是指用于验证某人声称的身份的不同认证类型或方法。不同的方法有
安全性和可用性要求决定了用于确认请求者身份声明的流程。多因素身份验证允许安全团队根据请求者(个人或程序过程)的背景或情况做出响应,取消访问是最常见的情况。除了确定需要多少种身份验证类型外,IT 部门还需要在可用性要求与实施成本之间取得平衡。
单因素身份验证(SFA)
SFA 过去是,现在仍然是确保访问移动、在线和其他安全信息和设施的默认方式。由于 SFA 无处不在且成本低廉,最常见的 SFA 类型是用户名和密码。不过,为了避免各种网络钓鱼攻击带来的威胁,无密码技术的采用率也在不断提高。例如,大多数基于移动设备的应用程序允许使用指纹或面部识别来代替传统的用户名和密码。
如今,微软和雅虎提供的在线服务都提供了无密码 SFA 选项,苹果和谷歌等其他供应商也将在明年提供同样的选项。
由于身份验证令牌用于验证身份,因此需要防止外人进入。除了强大的令牌安全性外,它们通常被配置为频繁过期,从而提高了刷新率。虽然在无密码界面下使用的短效令牌能提高安全性,但还达不到双因素身份验证的水平。
双因素验证 (2FA)
2FA 要求用户提供第二种类型(知道、拥有、是)的身份验证,从而加强了安全性。一种身份证明可能是实物令牌,如身份证,另一种是记忆的东西,如挑战/响应、安全代码或密码。第二个因素大大提高了歹徒和其他外部行为者成功突破安全防护的门槛。
以下是常用的身份验证方法列表:
三因素身份验证(3FA)
为双因素添加了另一个因素,使伪造声称的身份更加困难。典型的情况可能是在现有的用户名/密码加上感应卡登录的基础上增加生物识别技术。由于这种方法会增加明显的摩擦,因此应仅限于需要高度安全的情况。银行和各种政府机构可能会发现 3FA 的合理性。机场或医院的特定高控制区也是安全团队认为有必要使用 3FA 的区域。
尽管许多组织将用户验证视为事后考虑的问题,但必须注意的是,Verizon 的年度 DBIR 一直显示,凭证黑客是最主要的漏洞策略。几乎每家企业都会遭遇敏感信息丢失事件,造成有形的经济损失和潜在的客户信任损失,这只是时间问题。
这些趋势值得注意的是,多因素身份验证的实施从未像今天这样方便和经济。传统上,企业一直将多因素身份验证的实施局限于一小部分专门用户,这些用户处理的信息对企业构成较高风险。成本和可用性往往是阻碍更广泛部署强身份验证技术的限制因素。从历史上看,购买、部署(包括用户注册)和管理强身份验证方法的成本都很高。但最近,各行各业、组织本身、其客户(或病人、公民、合作伙伴等)以及他们可以访问的技术都发生了翻天覆地的变化。
实施多因素身份验证的主要业务驱动力是什么?
虽然每个组织都有自己的具体要求,但有一些高层次的业务驱动因素在这些组织中经常是共通的:
哪些规定要求组织使用 MFA 才能合规?
IT 部门可以利用一些技术来减少 MFA 可能给用户带来的摩擦:
单点登录(SSO)
单点登录(SSO)允许用户只需进行一次交互,就能对多个资源进行身份验证,也就是说,用户只需输入一个凭据,其下的基础架构就能在会话期间代表他对每个受保护的资源进行身份验证。最安全的 SSO 方法是,身份验证引擎为每个为 SSO 设置的资源使用一套唯一的凭证。这样做可以将安全性提高到一个很高的水平,因为
低摩擦认证选项
虽然传统的 OTP/TOTPs 仍将是最常见的第二因素身份验证类型,但也可能有其他更合理的选择。带外推送移动应用程序为 OTP 提供了一种低摩擦选项,因为用户只需点击接受按钮即可。在风险较高的情况下,一些推送应用程序可以要求使用指纹验证个人身份,并对桌面上显示的信息(如号码)进行确认,以进一步验证用户同时拥有台式机和智能手机。
面部识别正迅速成为生物识别身份验证的首选。Windows Hello 的低摩擦性,以及随着时间的推移会越来越好的特性,为用户提供了便捷的体验。最大的挑战是 Windows Hello 在各种光线条件下都无法正常工作。这种在不同光线下无法识别人脸的问题可以通过额外的面部注册来解决。最近,一些移动应用程序提供了在眼睛中注册虹膜图案的功能。生物识别身份验证方法(面部、指纹、虹膜)一起使用,可以提高安全标准,让外人无从下手。对于正在寻找低摩擦方式来防范网络钓鱼攻击的企业来说,生物识别方法也是一个极佳的选择。
语音识别在金融服务领域越来越受欢迎。机构之所以喜欢它,是因为客户在与服务代表交谈时完全是被动的。客户的身份得到验证后,服务代表就会收到通知。对于经常难以记住正确答案的客户,他们使用语音识别来代替挑战性问题。在这种情况下,安全性和可用性都得到了优化。
FIDO/FIDO2 对于用户在多设备间漫游的情况来说是很有吸引力的选择。FIDO 之所以成为一种有吸引力的身份验证选择,部分原因在于其广泛的供应商支持及其对可用性的关注。FIDO 在大学中得到了显著的推广,因为大学里有大量使用各种数字服务的学生。FIDO 允许在不同的设备和平台上实现无密码身份验证的可移植性。
智能手机手势分析是一种行为分析方法,可对用户如何操作设备以及如何与设备进行物理交互进行启发式分析。输出结果是基于跟踪手势模式的置信度评级。随着时间的推移,分析结果的可信度会越来越高,从而建立起手势的保真度。虽然手势分析最初还不足以成为身份验证的主要形式,但它可以作为一种合适的方法,与其他身份验证类型结合使用。
安全团队通常会实施所采用的身份验证所附带的支持软件。这种做法似乎很有效,直到购买了不同的设备,需要不同的软件实施,才会形成另一个孤岛。在大型企业中,很有可能出现多个无密码技术孤岛,用于多因素身份验证或满足其他身份验证要求。这种情况的弱点在于,每个身份验证筒仓都有自己的一套策略。更新这些多重策略存储需要更高的管理开销,并带来策略不均衡的风险。
OpenText™ NetIQ™Advanced Authentication专为满足最大型企业的多因素身份验证需求而设计。它基于标准的方法提供了一种开放式架构,没有供应商锁定的风险。该框架支持各种设备和其他开箱即用的方法,也可随着新技术的上市而扩展。
无论平台(网络、移动、客户端)如何,AA 都能为最常见的平台和应用程序提供开箱即用的支持。除了作为企业范围内身份验证的中央策略引擎外,AA 还提供基于风险的引擎,以控制何时调用 MFA,并控制在不同风险等级下提供哪些身份验证类型。除了自身的内置引擎外,AA 还与NetIQ Access Manager 集成,提供一套强大的单点登录选项和风险度量,可作为自适应访问管理用例的一部分。
启用无密码和多因素身份验证,提供简单的全组织保护
在移动、云和传统平台上实现单点登录和访问控制