对强身份验证的需求不断增长

已发表: 2020-02-13

对保护组织数据增长的更好方法的需求。

身份和访问管理 (IAM) 市场继续显着增长,研究机构预测年增长率在 13% 到 26% 之间。

对于来自各种形式和规模的组织的 IT 领导者来说,保护他们持有的数据从未像现在这样重要,但许多员工仍然能够使用密码访问安全数据。

随着公司持有的数据呈指数级增长,随着我们工作的地点和我们作为员工使用的设备,组织必须有适当的解决方案来确保正确的人能够访问正确的数据。

密码:pR0tEct3D

但是我们对所有事情都使用密码。 我们受到保护,对吧?

密码,甚至是一次性密码 (OTP) 都是较弱的身份验证方法,并不安全。 网络犯罪分子和国家黑客有许多网络钓鱼诈骗、社会工程和暴力手段,使用弱员工身份验证从组织窃取数据。

作为一个组织,我们支持将强身份验证作为标准。 但许多人仍然相信,强大的身份验证是为大企业和大预算保留的。

事实并非如此,我们正在努力提高人们对各种规模的组织都可以实现强身份验证的认识。

认证金字塔

您可以将数字身份和访问管理层次结构视为金字塔——尽管更像马斯洛的需求层次结构,而不是胡夫和吉萨。

这个金字塔提供了一种简单的方式来可视化 IAM 领域的身份验证部分是如何分解的,并对目前市场上可用的技术进行分类。

那里有无数的多因素身份验证供应商,但知道他们都适合哪里以及他们技术的优缺点绝非易事。

金字塔的底部是低安全性的身份验证方法; 密码是 80% 以上的数据泄露的原因,本质上是不安全的,对最终用户来说是一种痛苦,对 IT 团队来说同样令人沮丧。

接下来我们有一次性密码(OTP)。 OTP 确实提供了比单独使用密码更好的保护,但与其他更强大的身份验证方法相比,它们仍然容易受到攻击。 例如,通过 SMS 生成的 OTP,由服务器生成并发送到移动设备,要求最终用户输入通过 SMS 接收的短代码,以向身份验证服务器验证其身份。 这里的弱点源于 SMS 不是一种安全的通信渠道。 流氓应用程序可以拦截短信并将其转发给黑客,没有直接将凭据绑定到用户身份,用户体验很差。 OTP 令牌更健壮,通常依赖于对称加密,但这通常依赖于可能被泄露的共享密钥。

再往上爬,我们就有了生物识别技术。 有一种看法认为,只要我能用我的指纹访问这些数据,它就一定是安全的,对吧? 不完全的。

虽然生物识别技术在大量设备上得到支持并提供良好的用户体验,但集中式生物识别技术可能会受到影响。 存在错误匹配的风险,具体取决于所使用的硬件和软件,并且生物特征仍然是身份验证的单一因素。 对于要求高安全环境的 IT 策略,生物识别设备的平台安全性通常达不到要求的强度。

推送通知提供更高级别的身份验证安全性——与 SMS 不同,推送机制通常是加密的,因此可以抵抗攻击。 这确实需要一些投资——通常是在身份验证服务器上,并且考虑身份验证机制的触发器的安全性很重要。 虽然推送通知是安全的,但由它触发的身份验证机制可能不太安全。

Faster Identity Online,也就是众所周知的 FIDO,几乎处于身份验证金字塔的顶端。 基于标准并使用私钥/公钥密码术,这是一种不断发展的身份验证方法。 FIDO都支持PIN、指纹和人脸ID,用户体验很好。 FIDO 的局限性在于它是安全的数字身份,而不是个人绑定的数字身份。 由于公钥不直接与用户身份绑定,因此难以证明不可否认性。 这意味着身份验证元素仅限于登录 - 如果没有其他解决方案,用户无法安全地签名或加密。 FIDO 还需要对身份验证服务器进行投资。

身份验证金字塔的最顶端是公钥基础设施 (PKI)。 PKI 将私钥与公钥和受信任机构颁发的证书相结合。 基于加密,使用非对称加密,一旦用户注册,证书将密钥绑定到该个人的设备,他们使用多因素身份验证从该设备进行身份验证 - 他们拥有的东西(凭证设备加上他们知道的东西( PIN)和/或它们是什么(生物特征)。

这种多因素身份验证 (MFA) 方法由组织自己的安全策略驱动,因此 PKI 支持 PIN、指纹和面部 ID。 PKI 将密钥绑定到用户身份,从而实现不可否认性,通过数字签名和用户加密实现身份验证和授权。 此外,任何系统都可以验证交易,因为公钥包含在证书中,并且 PKI 可以使用内置的 Windows 安全功能轻松集成到 Microsoft 环境中。

虽然 PKI 提供了最佳的安全性,但 IT 领导者长期以来一直认为它是一个复杂的解决方案。 因此,企业往往会倾向于往金字塔的下方看,选择安全性较低但更易于实施的解决方案。 通过改进的最终用户技术,例如智能手机和 YubiKey 等 USB 令牌,以及 Microsoft 的 Windows Hello for Business 等预装技术,各种规模的组织都可以更轻松地访问加密级别的保护。

专注于解决方案

像 Intercede 这样的组织处于加密革命的前沿和中心,并通过开发凭据管理软件平台来应对,以使更多企业能够采用强大的身份验证安全性。

通过将许多组织已经嵌入其 IT 基础架构中的 Microsoft Active Directory 和证书服务技术与基于最佳实践的预定义业务流程相结合,我们开发了简单且经济实惠的凭证管理,让一系列全新的企业达到顶峰的认证金字塔。

如果没有凭证管理软件,管理超过 500 名员工的智能卡和 USB 令牌对 IT 团队来说变得复杂且耗时。

但是,这种消除 PKI 凭证管理复杂性的新功能使得不想损害数据安全的企业更容易使用最强大的用户身份验证形式。

通过将解决方案集成到其 IT 基础设施中,组织能够开始向来自各种制造商的员工智能卡和 USB 令牌(例如 YubiKey)颁发证书。 他们还可以集中控制员工凭证的生命周期管理,以便重新颁发、撤销、解锁、更新、删除和更新。

无论是提供安全的 Windows 和网络登录、VPN 和远程访问、签名和加密电子邮件还是保护对云资源的访问,这些新推出的解决方案都可以让任何规模和结构的企业轻松升级到最安全的两种方法- 对他们的员工进行身份验证。

因此,市场看到组织的需求显着增长,这些组织希望以更好的方式保护他们负责的数据。 这是一个令人鼓舞的迹象——不仅对网络安全解决方案供应商而言,对员工、公民、消费者和更广泛的社会而言也是如此。

___
艾伦·斯托里
资料来源: ITProPortal