關于RSA的安全泄漏事故,RSA起初拒絕公布泄漏詳細信息,后來承認安全泄漏事故比之前向客戶公布的情況還要更嚴重,因為這次事故,4000萬個RSA SecurID令牌必須更換。這一次事故也引發了對雙因素身份驗證的廣泛討論。供應商們開始向RSA客戶提供有競爭力的產品,企業也正在決定是否應該繼續選擇RSA的解決方案。
其中沒有被討論到的一個問題就是雙因素身份驗證應該如何使用以及不應該如何使用,存在哪些選擇,各種類型和部署的優缺點等。
現在市面上存在很多類型的雙因素身份驗證解決方案。最常見的部署是每隔60秒顯示任意號碼的物理令牌,例如RSA SecurID。其他類型還包括用戶或者設備證書,通過短信驗證的身份驗證,以及圖像驗證,這主要是由一些金融機構在使用。
每個企業的雙因素身份驗證部署都有所不同。有些企業只為遠程訪問使用雙因素身份驗證,而一些政府企業則在桌面也使用雙因素解決方案。對于大部分企業而言,有一些關鍵區域必須使用雙因素解決方案,而有些區域則沒有必要使用。
很少有人會反對遠程訪問應該使用某種形式的雙因素身份驗證的觀點,然而,對于部署的方式則存在很多異議。有些企業通過證書、用戶名和密碼來驗證遠程用戶的身份。在這種情況下,用戶名和密碼可能僅用于遠程訪問,與證書相關聯,或者某種專用于外部訪問的驗證系統關聯。
在其他情況下,用戶名和密碼就是Active Directory或其他集中的身份驗證系統。擴展內部身份驗證憑證到網絡邊緣并不是理想的方法,但是這種方法卻變得越來越普遍,這是因為企業需要支持越來越多新型移動設備,而這些設備并不支持證書,因此需要一種方式將身份驗證綁定到他們的中央賬戶數據庫,或者努力降低成本和精力。無論哪種方式,在這種用戶必須使用訪問內部資源的賬戶來進行外部身份驗證的情況下,必須采取一些步驟來保護這種賬戶。
第一個也是經常被忽視的因素就是確保賬戶不能被暴力破解,也就是通過將用戶名和密碼身份驗證放在證書驗證前。開包即用(out-of-the-box)的遠程訪問解決方案是一款支持多種形式身份驗證的遠程訪問解決方案,包括包含LDAP的雙因素驗證。
不幸的是,供應商將LDAP驗證放在雙因素身份驗證之前,從而創造了一個賬號可能被暴力破解或者鎖定的機會。通過將雙因素驗證放在第一步,能夠從根本上消除隨機暴力破解賬戶的風險。
有些企業將雙因素身份驗證擴展到密鑰系統和應用程序。這樣做肯定會提高系統的驗證安全,但是這可能增加用戶的負擔或破壞其他功能。要求自動化操作來登錄的系統或應用程序可能會被攻破,必須配置為允許這些賬戶使用密鑰或密碼登錄。
為你的雙因素身份驗證建立了這個后門的話,任何知道如何通過這些賬戶進行身份驗證的人都可以進入,可能并不是惡意進入,只是涂個方便。所以企業應該通過IP規則、密鑰身份驗證、監控等方法來緩解這個問題。
任何要求客戶端軟件裝在軟令牌、USB或訪問卡的雙因素身份驗證都增加了管理這種解決方案需要的支持。所有供應商都會說他們的解決方案具有非常低的支持要求,但是低并不等于沒有要求,而且可能現在是低要求,以后就變成高要求,因為操作系統升級或者配置更改等問題。
根據風險、成本和負擔等問題,在必要的系統和應用程序上使用雙因素驗證。
項目時間跟蹤應用程序中的登錄時間可能不需要雙因素身份驗證,但是訪問敏感系統就需要。在具有相同重要性和安全需求的系統的情況下,可能沒必要直接在眾多系統部署雙因素身份驗證,可以將網絡進行分隔,將這些設備放置驗證點后,例如內部SSL VPN網關,在這里雙因素驗證被用來獲取到網絡分割區的訪問,然后是標準驗證。
另外,內部系統和應用程序使用的雙因素身份驗證可能與外部驗證有所不同。很多企業使用密鑰來驗證系統服務,例如SSH。密鑰加密碼屬于一種雙因素驗證形式,這種形式是可以接受的,而不是整合SecurID或者其他雙因素身份驗證到每個系統以進行SSH訪問,這需要更高的支持成本,并需要驗證到外部服務器。
雙因素身份驗證產品選擇越來越多,各自有各自的優缺點。了解企業的需要、風險和支持能力,對比所有解決方案,選擇最適合企業的解決方案。范圍和部署細節是確保正常工作和安全安裝的重要因素。
不要認為任何開包即用(out-of-the-box)的解決方案是最好最安全的,但請記住,你必須使用這些解決方案,確保解決方案適合你的用戶,同時提供你需要的安全性。
京公網安備 11010502049343號