网络通信 频道

隐私保卫战:部署双因素身份验证

  【IT168专稿】关于RSA的安全泄漏事故,RSA起初拒绝公布泄漏详细信息,后来承认安全泄漏事故比之前向客户公布的情况还要更严重,因为这次事故,4000万个RSA SecurID令牌必须更换。这一次事故也引发了对双因素身份验证的广泛讨论。供应商们开始向RSA客户提供有竞争力的产品,企业也正在决定是否应该继续选择RSA的解决方案。

  其中没有被讨论到的一个问题就是双因素身份验证应该如何使用以及不应该如何使用,存在哪些选择,各种类型和部署的优缺点等。

  现在市面上存在很多类型的双因素身份验证解决方案。最常见的部署是每隔60秒显示任意号码的物理令牌,例如RSA SecurID。其他类型还包括用户或者设备证书,通过短信验证的身份验证,以及图像验证,这主要是由一些金融机构在使用。

  每个企业的双因素身份验证部署都有所不同。有些企业只为远程访问使用双因素身份验证,而一些政府企业则在桌面也使用双因素解决方案。对于大部分企业而言,有一些关键区域必须使用双因素解决方案,而有些区域则没有必要使用。

  很少有人会反对远程访问应该使用某种形式的双因素身份验证的观点,然而,对于部署的方式则存在很多异议。有些企业通过证书、用户名和密码来验证远程用户的身份。在这种情况下,用户名和密码可能仅用于远程访问,与证书相关联,或者某种专用于外部访问的验证系统关联。

  在其他情况下,用户名和密码就是Active Directory或其他集中的身份验证系统。扩展内部身份验证凭证到网络边缘并不是理想的方法,但是这种方法却变得越来越普遍,这是因为企业需要支持越来越多新型移动设备,而这些设备并不支持证书,因此需要一种方式将身份验证绑定到他们的中央账户数据库,或者努力降低成本和精力。无论哪种方式,在这种用户必须使用访问内部资源的账户来进行外部身份验证的情况下,必须采取一些步骤来保护这种账户。

  第一个也是经常被忽视的因素就是确保账户不能被暴力破解,也就是通过将用户名和密码身份验证放在证书验证前。开包即用(out-of-the-box)的远程访问解决方案是一款支持多种形式身份验证的远程访问解决方案,包括包含LDAP的双因素验证。

  不幸的是,供应商将LDAP验证放在双因素身份验证之前,从而创造了一个账号可能被暴力破解或者锁定的机会。通过将双因素验证放在第一步,能够从根本上消除随机暴力破解账户的风险。

  有些企业将双因素身份验证扩展到密钥系统和应用程序。这样做肯定会提高系统的验证安全,但是这可能增加用户的负担或破坏其他功能。要求自动化操作来登录的系统或应用程序可能会被攻破,必须配置为允许这些账户使用密钥或密码登录。

  为你的双因素身份验证建立了这个后门的话,任何知道如何通过这些账户进行身份验证的人都可以进入,可能并不是恶意进入,只是涂个方便。所以企业应该通过IP规则、密钥身份验证、监控等方法来缓解这个问题。

  任何要求客户端软件装在软令牌、USB或访问卡的双因素身份验证都增加了管理这种解决方案需要的支持。所有供应商都会说他们的解决方案具有非常低的支持要求,但是低并不等于没有要求,而且可能现在是低要求,以后就变成高要求,因为操作系统升级或者配置更改等问题。

  根据风险、成本和负担等问题,在必要的系统和应用程序上使用双因素验证。

  项目时间跟踪应用程序中的登录时间可能不需要双因素身份验证,但是访问敏感系统就需要。在具有相同重要性和安全需求的系统的情况下,可能没必要直接在众多系统部署双因素身份验证,可以将网络进行分隔,将这些设备放置验证点后,例如内部SSL VPN网关,在这里双因素验证被用来获取到网络分割区的访问,然后是标准验证。

  另外,内部系统和应用程序使用的双因素身份验证可能与外部验证有所不同。很多企业使用密钥来验证系统服务,例如SSH。密钥加密码属于一种双因素验证形式,这种形式是可以接受的,而不是整合SecurID或者其他双因素身份验证到每个系统以进行SSH访问,这需要更高的支持成本,并需要验证到外部服务器。

  双因素身份验证产品选择越来越多,各自有各自的优缺点。了解企业的需要、风险和支持能力,对比所有解决方案,选择最适合企业的解决方案。范围和部署细节是确保正常工作和安全安装的重要因素。

  不要认为任何开包即用(out-of-the-box)的解决方案是最好最安全的,但请记住,你必须使用这些解决方案,确保解决方案适合你的用户,同时提供你需要的安全性。

0
相关文章