目录:
在向谁证明身份管理(IDM)系统时,您可能已经注意到,除了用户ID和密码之外,最近有越来越多的用户需要采取额外的步骤,例如在登录时向手机发送代码的提示从您通常使用的设备以外的设备访问Gmail,Twitter或您的银行帐户。 只要确保您不会忘记第一个宠物的名字或母亲的出生地,因为您可能需要输入该信息来证明您的身份。 这些需要与密码结合使用的数据是多因素身份验证(MFA)的一种形式。
MFA不是新手。 它开始于物理技术。 智能卡和USB加密狗是输入正确密码后登录计算机或软件服务所需的两个设备示例。 但是,MFA一直在快速发展此登录过程,使其包括其他标识符,例如移动推送通知。
Centrify Identity Service的制造商Centrify Corp.总裁Tim Steinkopf说:“过去,公司不得不部署硬件令牌,过去让用户感到沮丧的是,他们每60秒旋转一次六位数的代码。” “这很昂贵,而且用户体验也很差。现在,MFA就像接收推送通知到电话一样简单。” 但是,据Steinkopf称,即使是通过短消息服务(SMS)接收的代码现在也被人们所反对。
他说:“ SMS不再是MFA代码的安全传输方式,因为它们可以被截获。” “对于高度敏感的资源,公司现在必须考虑遵循新的快速身份在线(FIDO)联盟标准的更安全的加密令牌。” 除加密令牌外,FIDO2标准还包含了万维网联盟(W3C)的Web身份验证规范和客户端到身份验证器协议(CTAP)。 FIDO2标准还支持使用嵌入式生物识别技术(例如面部识别,指纹滑动和虹膜扫描)的用户手势。
Okta身份管理的制造商Okta的安全产品营销管理总监Joe Diamond解释说,要使用MFA,您需要将密码和问题混合使用,例如智能手机,或使用指纹和面部识别。
戴蒙德说:“越来越多的组织正在认识到与基于SMS的一次性密码有关的安全风险是MFA因素。对于一个不好的参与者来说,'SIM卡交换'并接管移动电话号码是微不足道的。” “任何面临这种定向攻击风险的用户都应实施更强大的第二因素,例如生物特征因素或硬令牌,这些因素会在设备和服务之间产生加密握手。”
有时MFA并不完美。 11月27日,由于用户尝试登录Active Directory等服务而导致的域名系统(DNS)错误导致许多失败的请求,Microsoft Azure遭受了与MFA相关的中断。
信用:FIDO联盟
移动推送通知
专家将移动推送通知视为安全性“因素”的最佳选择,因为它具有安全性和可用性的有效组合。 应用程序将一条消息发送到用户的电话,通知该人该服务正在尝试登录用户或发送数据。
“您要登录到网络,而不是仅输入密码,而是会被推送到设备上显示“是”或“否”的设备,您正在尝试对该设备进行身份验证,如果您说“是”,则它授予您访问权限。网络,”思科Duo安全业务全球咨询首席信息安全官(CISO)Dave Lewis解释说,该公司提供移动身份验证应用Duo Push。 提供MFA的其他产品包括Yubico YubiKey 5 NFC和Ping Identity PingOne。
移动推送通知缺少通过SMS发送的一次性密码,因为这些密码很容易被黑。 MFA解决方案提供商Silverfort的联合创始人兼首席执行官Hed Kovetz认为,加密使通知有效。
他说:“这只是一键,安全性非常强,因为它是一个完全不同的设备。” “您可以更改受威胁的应用程序,并使用现代协议对其进行完全加密和身份验证。例如,它不像SMS,它很容易遭到破坏,因为该标准基本上是薄弱的,并且容易受到Signaling System 7(SS7)攻击的破坏以及对SMS的其他各种攻击。”
外交部合并零信任
MFA是“零信任”模型的关键部分,在该模型中,您在验证网络用户合法之前不信任任何网络用户。 Steinkopf说:“应用MFA是验证用户确实是他们所说的真实身份的必要步骤。”
Okta的钻石补充说:“ MFA在任何组织的零信任成熟度模型中都扮演着至关重要的角色,因为我们首先需要建立用户信任,然后才能授予访问权限。 “这还需要与针对所有资源的集中式身份策略相结合,以便将MFA策略与访问策略结合使用,以确保正确的用户能够正确访问正确的资源,并且摩擦尽可能小。”
信用:FIDO联盟
是否要替换密码?
许多人可能还没有准备好放弃密码,但是如果用户要继续依赖它们,则需要对其进行保护。 实际上,Verizon的2017年数据泄露报告显示81%的数据泄露源于密码被盗。 对于任何希望可靠地保护其系统的组织而言,这些统计信息都会使密码成为问题。
Silverfort的Kovetz说:“如果我们能够解决密码问题并获得密码,并采用更智能的身份验证方式,我们将防止当今大多数数据泄露事件的发生。”
Silverfort的Kovetz指出,密码不太可能在所有地方消失,但是对于特定的应用程序,密码可能会被删除。 他说,完全消除计算机硬件和物联网(IoT)设备的密码将更加复杂。 他说完全的无密码身份验证可能不会很快发生的另一个原因是,人们在心理上依附于他们。
思科的Lewis表示,从密码过渡还涉及组织的文化变革。 刘易斯说:“从静态密码转换到MFA的根本原因是文化上的转变。” “你正在使人们做事不同于他们多年来所做的事情。”
MFA处理和人工智能
人工智能(AI)用于帮助IDM管理员和MFA系统应对大量新的登录数据。 来自Silverfort等供应商的MFA解决方案应用AI来了解何时需要MFA,何时不需要MFA。
Silverfort的Kovetz说:“将AI部分结合使用时,可以使您对特定的身份验证是否需要MFA做出初步决定。” 他说,如果该应用程序的机器学习(ML)组件检测到异常活动模式,则该应用程序可能会提供很高的风险评分,例如,某个员工的帐户突然被中国某人访问,而该员工经常在美国工作。
Centrify的Steinkopf解释说:“如果用户使用自己公司发行的PC从办公室登录应用程序,则不需要MFA,因为那是'正常的'。” “但是,如果同一用户出国旅行或使用其他人的设备,则会提示他们进行MFA,因为风险更高。” Steinkopf补充说,使用其他验证技术时,MFA通常是第一步。
CIO还密切关注行为生物识别技术,这已成为新的MFA部署中日益增长的趋势。 行为生物识别使用软件来跟踪用户键入或滑动的方式。 尽管这听起来很简单,但实际上需要处理大量快速变化的数据,这就是供应商采用ML来提供帮助的原因。
Okta的Diamond说:“用于身份验证的ML的价值是评估多个复杂信号,基于这些信号了解用户的基线'身份',并警告该基线的异常情况,” “行为生物特征识别就是其中一个例子。了解用户如何键入,行走或以其他方式与其设备进行交互的细微差别需要先进的智能系统来创建该用户配置文件。”
消失的周界
随着云基础架构,云服务的发展,尤其是非本地IoT设备的高数据量,企业数据中心所在的物理边界已不止一个。 还有一个虚拟边界需要保护云中公司的资产。 在两种情况下,身份都起着关键作用。
Kovetz说:“周长通常是由办公室来物理定义的,但如今,周长是由身份定义的。” 随着边界的消失,强大的防火墙过去为有线台式计算机提供的保护也会消失。 Kovetz建议,MFA可能是替代传统防火墙的一种方法。
- 两要素身份验证:谁拥有它以及如何设置两要素身份验证:谁拥有它以及如何设置
- 超越外围:如何解决分层安全性超越外围:如何解决分层安全性
- 零信任模型与安全专家共舞零信任模型与安全专家共舞
“,您将网络安全产品放在哪里?” 科维兹问。 “网络安全性实际上不再有效。MFA成为实际上保护无边界网络的新方法。”
MFA向外围发展的一种关键方式是通过大量新兴的身份系统在软件即服务(SaaS)的基础上出售,其中包括PCMag Labs在过去一年中评估的大多数IDM服务。 数据安全提供商Evident的联合创始人兼首席产品官(Nathan Rowe)表示:“允许中小型企业轻松启动和运行的大量SaaS产品已经在外围运行。” Rowe认为,SaaS模型可以大大降低成本和部署复杂性,因此对中小型企业而言是一个很大的帮助,因为它可以减少IT支出和开销。
SaaS解决方案当然是IDM的未来,这也使它们成为MFA的未来。 这是个好消息,因为即使是小型企业也不可避免地转向多云和云服务IT架构,在该架构中,轻松访问MFA和其他高级安全措施将很快成为强制性要求。
