對強身份驗證的需求不斷增長

已發表: 2020-02-13

對保護組織數據增長的更好方法的需求。

身份和訪問管理 (IAM) 市場繼續顯著增長,研究機構預測年增長率在 13% 到 26% 之間。

對於來自各種形式和規模的組織的 IT 領導者來說,保護他們持有的數據從未像現在這樣重要,但許多員工仍然能夠使用密碼訪問安全數據。

隨著公司持有的數據呈指數級增長,隨著我們工作的地點和我們作為員工使用的設備,組織必須有適當的解決方案來確保正確的人能夠訪問正確的數據。

密碼:pR0tEct3D

但是我們對所有事情都使用密碼。 我們受到保護,對吧?

密碼,甚至是一次性密碼 (OTP) 都是較弱的身份驗證方法,並不安全。 網絡犯罪分子和國家黑客有許多網絡釣魚詐騙、社會工程和暴力手段,使用弱員工身份驗證從組織竊取數據。

作為一個組織,我們支持將強身份驗證作為標準。 但許多人仍然相信,強大的身份驗證是為大企業和大預算保留的。

事實並非如此,我們正在努力提高人們對各種規模的組織都可以實現強身份驗證的認識。

認證金字塔

您可以將數字身份和訪問管理層次結構視為金字塔——儘管更像馬斯洛的需求層次結構,而不是胡夫和吉薩。

這個金字塔提供了一種簡單的方式來可視化 IAM 領域的身份驗證部分是如何分解的,並對目前市場上可用的技術進行分類。

那裡有無數的多因素身份驗證供應商,但知道他們都適合哪里以及他們技術的優缺點絕非易事。

金字塔的底部是低安全性的身份驗證方法; 密碼是 80% 以上的數據洩露的原因,本質上是不安全的,對最終用戶來說是一種痛苦,對 IT 團隊來說同樣令人沮喪。

接下來我們有一次性密碼(OTP)。 OTP 確實提供了比單獨使用密碼更好的保護,但與其他更強大的身份驗證方法相比,它們仍然容易受到攻擊。 例如,通過 SMS 生成的 OTP,由服務器生成並發送到移動設備,要求最終用戶輸入通過 SMS 接收的短代碼,以向身份驗證服務器驗證其身份。 這裡的弱點源於 SMS 不是一種安全的通信渠道。 流氓應用程序可以攔截短信並將其轉發給黑客,沒有直接將憑據綁定到用戶身份,用戶體驗很差。 OTP 令牌更健壯,通常依賴於對稱加密,但這通常依賴於可能被洩露的共享密鑰。

再往上爬,我們就有了生物識別技術。 有一種看法認為,只要我能用我的指紋訪問這些數據,它就一定是安全的,對吧? 不完全的。

雖然生物識別技術在大量設備上得到支持並提供良好的用戶體驗,但集中式生物識別技術可能會受到影響。 存在錯誤匹配的風險,具體取決於所使用的硬件和軟件,並且生物特徵仍然是身份驗證的單一因素。 對於要求高安全環境的 IT 策略,生物識別設備的平台安全性通常達不到要求的強度。

推送通知提供更高級別的身份驗證安全性——與 SMS 不同,推送機制通常是加密的,因此可以抵抗攻擊。 這確實需要一些投資——通常是在身份驗證服務器上,並且考慮身份驗證機制的觸發器的安全性很重要。 雖然推送通知是安全的,但由它觸發的身份驗證機制可能不太安全。

Faster Identity Online,也就是眾所周知的 FIDO,幾乎處於身份驗證金字塔的頂端。 基於標準並使用私鑰/公鑰密碼術,這是一種不斷發展的身份驗證方法。 FIDO都支持PIN、指紋和人臉ID,用戶體驗很好。 FIDO 的局限性在於它是安全的數字身份,而不是個人綁定的數字身份。 由於公鑰不直接與用戶身份綁定,因此難以證明不可否認性。 這意味著身份驗證元素僅限於登錄 - 如果沒有其他解決方案,用戶無法安全地簽名或加密。 FIDO 還需要對身份驗證服務器進行投資。

身份驗證金字塔的最頂端是公鑰基礎設施 (PKI)。 PKI 將私鑰與公鑰和受信任機構頒發的證書相結合。 基於加密,使用非對稱加密,一旦用戶註冊,證書將密鑰綁定到該個人的設備,他們使用多因素身份驗證從該設備進行身份驗證 - 他們擁有的東西(憑證設備加上他們知道的東西( PIN)和/或它們是什麼(生物特徵)。

這種多因素身份驗證 (MFA) 方法由組織自己的安全策略驅動,因此 PKI 支持 PIN、指紋和麵部 ID。 PKI 將密鑰綁定到用戶身份,從而實現不可否認性,通過數字簽名和用戶加密實現身份驗證和授權。 此外,任何系統都可以驗證交易,因為公鑰包含在證書中,並且 PKI 可以使用內置的 Windows 安全功能輕鬆集成到 Microsoft 環境中。

雖然 PKI 提供了最佳的安全性,但 IT 領導者長期以來一直認為它是一個複雜的解決方案。 因此,企業往往會傾向於往金字塔的下方看,選擇安全性較低但更易於實施的解決方案。 通過改進的最終用戶技術,例如智能手機和 YubiKey 等 USB 令牌,以及 Microsoft 的 Windows Hello for Business 等預裝技術,各種規模的組織都可以更輕鬆地訪問加密級別的保護。

專注於解決方案

像 Intercede 這樣的組織處於加密革命的前沿和中心,並通過開發憑據管理軟件平台來應對,以使更多企業能夠採用強大的身份驗證安全性。

通過將許多組織已經嵌入其 IT 基礎架構中的 Microsoft Active Directory 和證書服務技術與基於最佳實踐的預定義業務流程相結合,我們開發了簡單且經濟實惠的憑證管理,讓一系列全新的企業達到頂峰的認證金字塔。

如果沒有憑證管理軟件,管理超過 500 名員工的智能卡和 USB 令牌對 IT 團隊來說變得複雜且耗時。

但是,這種消除 PKI 憑證管理複雜性的新功能使得不想損害數據安全的企業更容易使用最強大的用戶身份驗證形式。

通過將解決方案集成到其 IT 基礎設施中,組織能夠開始向來自各種製造商的員工智能卡和 USB 令牌(例如 YubiKey)頒發證書。 他們還可以集中控制員工憑證的生命週期管理,以便重新頒發、撤銷、解鎖、更新、刪除和更新。

無論是提供安全的 Windows 和網絡登錄、VPN 和遠程訪問、簽名和加密電子郵件還是保護對雲資源的訪問,這些新推出的解決方案都可以讓任何規模和結構的企業輕鬆升級到最安全的兩種方法- 對他們的員工進行身份驗證。

因此,市場看到組織的需求顯著增長,這些組織希望以更好的方式保護他們負責的數據。 這是一個令人鼓舞的跡象——不僅對網絡安全解決方案供應商而言,對員工、公民、消費者和更廣泛的社會而言也是如此。

___
艾倫·斯托里
資料來源: ITProPortal