查看原文
其他

账号密码靠不住?该如何给身份认证安全上好“锁”?

安胜ANSCEN 2022-11-02


根据最新数据显示,2022年全球数据泄露规模和平均成本均创下历史新高,数据泄露事件的平均成本高达435万美元。同比过去两年,泄露成本增加了近13%。


近年来关于数据泄露的新闻更是屡见不鲜:


  • 某大学生学习软件数据库疑似发生泄漏,包含姓名、手机号等信息1.7亿条数据被非法售卖;
  • Twitter在其隐私中心发布声明,确认此前被曝出的540万个账户信息泄露事件确实存在;
  • 万豪酒店集团6月证实,黑客入侵内部系统获取了20GB的用户数据,包括顾客及员工的部分信息、甚至酒店各部门的平均工资等。
  • ... ...


在很多企业中,弱口令\弱密码是常见问题,特别是在遇到钓鱼攻击或者密码暴力破解时,黑客是容易拿到对应的账号信息和密码信息的。


企业通常会采取对账号和密码统一管理、包括制定密码设置、轮换制等方式来保证系统安全,但当用户名和密码等传统单一的身份验证方式已不再满足当下对安全要求的时候,我们还有什么办法?企业需要一种更强大的身份和访问管理技术——强身份验证。



什么是强身份验证

企业信息系统通常是通过用户名或密码来进行身份验证,但如果仅使用这种方式,其实安全隐患很大,很容易被冒用身份,导致系统被攻击。因此我们需要采取不止一种措施来确保只有合法用户才能访问企业的应用程序和服务,同时还能保护机密、个人身份信息等敏感数据。


强身份验证是指,任何验证用户或设备身份的方法,它比一般的身份认证更加严格,可以抵御可能遇到的任何攻击。其中,强身份验证必须包括至少两个相互独立的因素,这些因素是:

知识——用户知道的东西拥有——用户拥有的东西内在——用户是什么


在 IAM 策略中,强大的身份验证方法(如 MFA 和现代身份验证)正在迅速取代密码等传统方法,成为 IT 和安全团队执行访问控制和获取访问事件可见性的新标准,尤其是在工作负载迁移到云时、虚拟机以及跨远程和混合环境。


什么是IAM?

IAM(Identity and Access Management ),即“身份识别与访问管理”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。


它是一套全面建立和维护数字身份,并提供有效、安全的IT资源访问的业务流程和管理手段,从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。


IAM安全边界


强身份验证是现代身份和访问管理的关键组成部分,它不仅围绕入口点提供额外的安全层,而且允许在整个环境中进行可定制级别的身份验证、授权和访问控制,并只为用户提供他们需要的权限(和登录要求)。



01
多因素身份验证(MAF)


  • 防止由弱密码造成的危害

一旦使用了 MFA,仅凭密码将不足以被授予访问权限,因此凭证填充和暴力攻击也会变得毫无用处。


  • 减少网络钓鱼和其他社会工程计划的身份盗用。

即使员工确实点击了网站钓鱼的电子邮件,并输入了一些凭证,但只要接入点需要 MFA(尤其是使用令牌化、生物识别或基于位置的条目),就不足以让黑客登入系统。


  • 保持在合规范围内

例如在OMB 零信任网络安全备忘录和欧盟网络安全机构 (ENISA) 以及 CERT-EU指南,文件都要求在企业中使用 MFA。


强身份验证中使用MFA 方法有:

  • FIDO 安全密钥

  • 基于证书的智能卡和基于证书的 USB 令牌

  • 基于手机和软件的身份验证

  • 一次性密码 (OTP) 身份验证器

  • 基于模式(或网格)的身份验证器

  • 混合代币


02
现代身份验证


现代身份验证依赖诸如 FIDO 和 Webauthn 、上下文身份验证和现代联合协议等技术,这些技术可确保云环境中正确的用户身份和访问控制。这也就意味着企业可以为云应用程序实施更有效的访问安全,为本地和遗留的应用程序实施现有的访问控制。灵活的基于策略的访问可实现友好的体验,同时为需要访问的角色或资源保持高级别的安全性。



强身份验证服务需要考虑什么


在选择身份验证服务时,无论是在本地还是在云中,要考虑的功能包括:


1基于策略的访问

为了优化用户体验,同时保持特定用户和应用程序的最佳访问安全性,可以通过策略和风险评分强制执行一系列身份验证方法的解决方案。


2抵御网络钓鱼

数据显示,网络钓鱼约占所有数据泄露事件的四分之一。使用 FIDO2 的强大身份验证解决方案既可以安全地进行身份验证,又可以防止攻击。


3用户体验

在提高安全性而不妨碍用户的便利性。所涉及的方法是否会造成安全疲劳,或者保护多次使用的身份验证过程是否简单?


4适应性&可定制性

企业可根据角色或资产分配不同的访问控制、上下文、环境或用例。


最后,企业需要确保强大的身份验证提供商支持所在行业的身份和访问法规,并与企业当前的身份环境顺利集成,灵活部署并在过渡时保持平衡。为了保持基于风险的身份验证状态,IAM 解决方案必须随着数字化需求的增加而不断发展。


当一把锁和一把钥匙不再足以保护当今的虚拟机、远程环境和基于云的数字资产时,我们必须采用访问管理和强大的身份验证方法。


END



资料来源:
https://securityaffairs.co/wordpress/133807/security/strong-authentication.html



往期精彩回顾
01威胁增长超200% | 企业如何保护API安全?02物联网安全 | 警惕!企业易忽略的安全漏洞之一03数据安全 | 大数据时代,如何有效预防数据泄露?04数据安全 | 躲在暗处的黑客如何窃取你的信用卡



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存