訪問受保護的資源時,使用憑據資訊對數據存儲進行身份驗證。它由一個聲稱的身份和與之相關的秘密組成。傳統上,這僅使用簡單的使用者名和密碼即可完成,並且是當今最常見的身份驗證方法。不幸的是,使用者名/密碼身份驗證已被證明非常容易受到網路釣魚和憑據駭客攻擊。由於密碼可能很難記住,人們傾向於選擇一個簡單的密碼,並在他們的各種在線和雲服務中重複使用它。這意味著,當一個憑據在一項服務上被駭客入侵時,惡意的外部人員會在其他個人和專業數位服務中對其進行測試。
多重身份驗證 (MFA) 旨在通過要求使用者提供兩種或多種驗證方法,然後才能存取特定資源(如應用程式、資料存儲或專用網路)來防止這些威脅和其他類型的威脅。
術語“因素”描述了用於驗證某人聲稱的身份的不同身份驗證類型或方法。不同的方法是:
安全性和可用性要求決定了用於確認請求者身份聲明的過程。多因素身份驗證允許安全團隊回應請求者(人員或程式設計進程)的上下文或情況,刪除訪問許可權是最常見的方案。除了確定需要多少種類型的身份驗證之外,IT 還需要平衡可用性要求的成本和實施這些要求的成本。
單因素身份驗證 (SFA)
SFA 過去和現在仍然是保護對移動、在線和其他安全資訊和設施的訪問的預設方法。因為它無處不在且價格低廉,所以最常見的 SFA 類型是使用者名和密碼。儘管如此,無密碼技術的採用速度越來越快,以避免各種網路釣魚攻擊帶來的威脅。例如,大多數基於移動的應用程式都允許使用指紋或面部識別來代替傳統的使用者名和密碼。
如今,Microsoft和雅虎提供的在線服務提供了無密碼的SFA選項,蘋果和谷歌等其他供應商也將在明年提供相同的選項。
由於身份驗證令牌用於驗證身份,因此需要保護身份驗證令牌免受外界攻擊。除了強大的令牌安全性外,它們通常被配置為相當頻繁地過期,從而提高了它們的刷新率。雖然在無密碼介面下實現使用短期令牌可以提高安全性,但它不符合雙因素身份驗證提供的級別。
雙因素身份驗證 (2FA)
2FA 通過要求使用者提供第二種類型(知道、擁有、是)進行身份驗證來增強安全性。一種身份證明可能是物理令牌,例如身份證,另一種是記憶的東西,例如質詢/回應、安全代碼或密碼。第二個因素大大提高了瀆職者和其他外部行為者成功突破安全漏洞的門檻。
以下是常用身份驗證方法的常見清單:
三因素身份驗證 (3FA)
在雙因素的基礎上增加了另一個因素,使偽造一個聲稱的身份更加困難。典型的情況可能是將生物識別技術添加到現有使用者名/密碼以及感應卡登錄名。由於它增加了顯著的摩擦級別,因此應將其保留用於需要高級別安全性的情況。銀行可能會發現 3FA 有意義的情況,各種政府機構也是如此。機場或醫院部分區域內的特定高控制區域也是安全團隊認為有必要進行 3FA 的區域。
儘管許多組織將使用者驗證視為事後的想法,但重要的是要注意,Verizon的年度DBIR始終將憑據駭客攻擊視為首要的違規策略。幾乎每個組織都會遭受敏感信息丟失的事件,從而導致有形的財務損失和潛在的客戶信任損失,這隻是時間問題。
這些趨勢之所以引人注目,是因為多因素身份驗證從未像今天這樣方便且經濟實惠。傳統上,組織一直將其 MFA 實現限制為一小部分專業使用者,這些使用者處理的資訊會給業務帶來更高級別的風險。成本和可用性通常是阻礙更廣泛部署強身份驗證技術的限制因素。從歷史上看,強身份驗證方法的購買、部署(包括註冊使用者)和管理成本很高。但最近,各行各業、組織本身、客戶(或患者、公民、合作夥伴等)以及他們可以訪問的技術都發生了一系列翻天覆地的變化。
實施多重身份驗證的主要業務驅動因素是什麼?
雖然每個組織都有自己的具體要求,但有一些高級業務驅動因素在它們之間經常是通用的:
哪些要求組織使用 MFA 來遵守規定?
IT 可以使用一些技術來減少 MFA 可能給使用者帶來的摩擦:
單點登入 (SSO)
單點登錄 (SSO) 允許使用者僅通過使用者的單次交互對多個資源進行身份驗證,這意味著使用者輸入單個憑據,在該會話期間,其下的基礎結構代表他向每個受保護的資源進行身份驗證。最安全的 SSO 方法是讓身份驗證引擎對為 SSO 設置的每個資源使用一組唯一的憑據。這將安全性提升到一個高級別,因為:
低摩擦身份驗證選項
雖然傳統的 OTP/TOTP 仍將是最常見的第二因素身份驗證類型,但可能還有其他選項對某些情況更有意義。帶外推送移動應用程式為 OTP 提供了低摩擦選項,因為使用者需要做的就是點擊接受按鈕。對於風險較高的情況,一些推送應用程式可以選擇推送行動應用程式,可以配置為需要指紋來驗證此人的身份,以及確認桌面上顯示的資訊(例如數位),以進一步驗證使用者是否同時擁有桌面和智能手機。
面部識別正迅速成為首選的生物識別身份驗證。Windows Hello 的低摩擦特性,注意到它會隨著時間的推移而變得更好,提供方便的用戶體驗。最大的挑戰是 Windows Hello 不能很好地處理各種照明情況。這種無法識別整個照明的人臉可以通過額外的面部配準進行管理。最近,一些移動應用程式提供了在眼睛中註冊一個人的虹膜圖案的能力。結合使用(面部、指紋、虹膜),生物識別身份驗證選項將安全門檻提高到相當高的水準,讓局外人無法擊敗。對於尋求低摩擦方式來防止網路釣魚攻擊的組織來說,生物識別方法也是一個很好的選擇。
語音辨識在金融服務領域越來越受歡迎。機構喜歡它,因為當客戶與服務代表交談時,它完全是被動的。當客戶的身份得到驗證時,代表將收到通知。他們使用語音辨識來代替客戶的挑戰問題,這些客戶經常難以記住對他們的正確回答。在這種情況下,安全性和可用性得到了優化。
FIDO/FIDO2 是使用者在多個設備上漫遊的有吸引力的選項。使FIDO成為有吸引力的身份驗證選項的部分原因是其廣泛的供應商支援及其對可用性的關注。FIDO在與大量使用各種數位服務的學生打交道的大學中獲得了顯著的吸引力。FIDO 允許跨不同設備和平台進行無密碼身份驗證的可移植性。
智慧手機手勢的分析是一種行為分析,它對擁有者如何處理設備以及與其設備進行物理交互的方式執行啟發式分析。輸出是基於跟蹤手勢模式的置信度評級。隨著時間的流逝,分析會增加置信度,從而建立出手勢保真度。雖然最初還不足以成為身份驗證的主要形式,但手勢分析可以作為一種合適的方法,與其他身份驗證類型結合使用。
安全團隊經常實施所採用的身份驗證附帶的支持軟體。這似乎很有效,直到購買了需要不同軟體實現的不同設備,從而創建了另一個孤島。在大型組織中,很有可能有多個無密碼技術孤島用於多重身份驗證或滿足其他一些身份驗證要求。這種情況的缺點是每個身份驗證接收器都有自己的一組策略。使這些多個策略存儲保持最新狀態需要更高的管理開銷,並引入策略不均衡的風險。
OpenText™ NetIQ™ Advanced Authentication旨在滿足最大型組織的多因素身分驗證需求。它基於標準的方法提供了一個開放的架構,沒有供應商鎖定的風險。該框架支援各種開箱即用的設備和附加方法,但也可以隨著新技術投放市場而擴展。
無論平台如何(網路、行動、用戶端),AA 也為最常見的平台和應用程式提供開箱即用的支援。除了充當企業範圍內的身份驗證中央策略引擎之外,AA 還提供基於風險的引擎來控制 MFA 的呼叫時間以及控制在不同風險等級下提供的身份驗證類型。除了自己的內建引擎之外,AA 還整合了NetIQ Access Manager 提供一組強大的單一登入選項和風險指標,可作為自適應存取管理案例的一部分。
啟用無密碼和多重身份驗證,實現組織範圍的簡單保護
跨移動、雲端和傳統平臺實現單點登錄和訪問控制