双重认证:方法、用例与最佳实践

越来越多的迹象表明,使用单一密码认证的系统是注定要出问题的。Verizon在其2013年数据泄露调查报告中指出,使用非单一用户密码认证机制在去年可以抵御80%的攻击。但是,许多企业仍然没有使用多重身份认证。为此,我们了解一下什么是双重身份认证:技术供应商提供的方法,以及企业如何用它实现一个全面企业安全战略,从而实现一个可靠的业务案例。

虽然许多供应商推出了相似的技术,但是它们均有各自的优点和缺点。例如,有成熟产品的供应商可能使用一些私有验证方法和软件开发套件(SDK),它可能插入到企业应用程序或供应商应用程序中。其他供应商可能关注于一种或多种广泛应用的身份认证方法,如一次性密码(OTP)令牌和编外(OOB)身份认证方法。

双重认证用例

企业IT系统为特定的用户提供特殊功能;系统管理员执行的任务不同于安全分析师或财务分析师的任务。身份认证是一个重要的业务过程,它负责将用户关联到应用程序和其他资源,而不会向未授权的用户暴露数据与过程。

在现在云计算的复杂环境中,企业应该采用双重身份认证方法支持一个或多个用例,才能更好地保护企业资产和业务数据阻止未授权访问。这些用例包括:

1.内部或本地访问:员工访问关键业务或基于云的应用程序,以及/或者管理员访问企业服务器和网络设备。

2.外部或远程访问:远程或移动员工通过VPN或Portal访问企业后台系统。

3.常用网络入口:在公共网络/互联网和内部企业网络之间,使用安全访问机制访问企业服务,如电子邮件或VPN。

双重认证方法

近几年来,双重认证(双重认证)逐渐成熟,而且技术成本也显著降低。虽然这项技术仍然在发展和改进,但是现在员工不需要复杂设备就能够很方便地使用这些技术。每一位员工的日常移动设备是第二种认证手段来生成安全认证代码,不需要使用令牌,就可以保护企业资产不受攻击。一些主流双重认证供应商都提供了功能强大的成熟技术方法和各种可靠的企业用例,如Entrust、RSA、SafeNet和Symantec。RSA是EMC的安全分部,它有知名的RSA SecureID一次性密码硬件和基于软件的令牌技术。此外,它还提供了自适应身份验证,大型企业可以通过它使用与环境相关的身份验证/自适应访问控制功能。另一个方法是身份验证,这是一个托管服务,它基于最终用户的生活历史问题来验证身份,并且使用交互式用户验证流程。它的大多数竞争对手都有相似的产品。

双重认证的实现成本受实际应用场景的影响。例如,行业领域、企业规模、使用模式、用户位置以及帮助台在线状态和业务或数据敏感度等,大型金融与零售领域的实现成本大约在65,000美元至2百万美元之间。

PhoneFactor(已被微软收购)新近推出了一个可靠的双重认证产品。PhoneFactor使用用户的电话替代令牌或其他专用的双重认证设备,它方便用户使用,也是一个适合企业使用且经济的安全平台。在身份认证的第一步中,用户必须输入用户名和密码。第二步,用户可以选择下面的一种方法:a) PhoneFactor呼叫用户,用户按电话#键回复,b) PhoneFactor给用户发送一条包含验证码的短信,然后用户通过短信回复验证码,c) PhoneFactor给用户智能手机上安装的PhoneFactor应用推送一条通知,然后用户在应用上触碰“认证”完成认证过程。这个供应商给小型组织(最多25个用户)提供了一个免费版本。